x-kom hosting

Iexplore.exe x20

maniaczekkk
utworzono
utworzono

Grałem sobie w nfs'a spojżałem w procesy po zminimalizowaniu a tu patrze proces iexplore.exe z 20 razy

Może to jakiś syf :P

Log z Hijacka

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 20:23:38, on 2008-09-13Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\nvsvc32.exeC:\WINDOWS\system32\PnkBstrA.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\services.exeC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\user\Pulpit\GammaAdjuster.exeD:\Program Files\Teamspeak2_RC2\TeamSpeak.exeC:\WINDOWS\system32\taskmgr.exeD:\Program Files\Mozilla Firefox\firefox.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.comR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.comR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO4 - HKLM\..\Run: [skyTel] SkyTel.EXEO4 - HKLM\..\Run: [Windows] C:\WINDOWS\services.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /trayO4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_SA3.tmp" /EF "HKCU"O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeO23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe--End of file - 3884 bytes

Mateusz J.
komentarz
komentarz

Pobierz program ComboFix.

Do notatnika wklej:

File::C:\WINDOWS\services.exeRegistry::[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"SkyTel"=-

W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix

Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku:

82650GIF.gif

Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum.

maniaczekkk
komentarz
komentarz
ComboFix 08-09-13.03 - user 2008-09-13 22:43:13.1 - NTFSx86Microsoft Windows XP Professional  5.1.2600.3.1250.1.1045.18.2628 [GMT 2:00]Uruchomiony z: C:\Documents and Settings\user\Moje dokumenty\combofix\ComboFix.exe * Utworzono nowy punkt przywracaniaUWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.(((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\services.exeE:\install.exe.(((((((((((((((((((((((((   Pliki utworzone od 2008-08-13 do 2008-09-13  ))))))))))))))))))))))))))))))).2008-09-13 20:23 . 2008-09-13 20:23	<DIR>	d--------	C:\Program Files\Trend Micro2008-09-13 13:55 . 2008-09-13 13:55	<DIR>	d--------	C:\vcs5BGEffects2008-09-13 13:54 . 2008-09-13 13:55	<DIR>	d--------	C:\Program Files\AV Vcs 6.0 DIAMOND2008-09-13 10:15 . 2008-09-13 10:16	<DIR>	d--------	C:\Program Files\Tibia 8.112008-09-13 10:09 . 2008-09-13 10:09	<DIR>	d--------	C:\Program Files\Asprate2008-09-11 21:44 . 2008-09-11 21:44	<DIR>	d--------	C:\Program Files\K-Lite Codec Pack2008-09-11 21:35 . 2008-09-11 21:43	69	--a------	C:\WINDOWS\NeroDigital.ini2008-09-11 21:26 . 2008-09-11 21:29	<DIR>	d--------	C:\Program Files\HyCam22008-09-08 20:20 . 2008-09-08 20:20	<DIR>	d--------	C:\Program Files\TibiaCam TV Lite2008-09-07 17:05 . 2008-09-07 18:02	<DIR>	d--------	C:\Documents and Settings\user\Dane aplikacji\Ventrilo2008-09-07 17:02 . 2008-09-07 17:02	<DIR>	d--------	C:\Program Files\Ventrilo2008-09-07 16:48 . 2008-09-07 18:54	<DIR>	d--------	C:\Program Files\VentSrv2008-09-06 23:23 . 2008-09-06 23:23	<DIR>	d--------	C:\Program Files\Winamp2008-09-06 23:23 . 2008-09-06 23:29	<DIR>	d--------	C:\Documents and Settings\user\Dane aplikacji\Winamp2008-09-06 19:57 . 2008-09-06 19:57	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Avg82008-09-06 19:51 . 2008-09-06 19:51	<DIR>	d--------	C:\Program Files\inKline Global2008-09-06 19:37 . 2008-09-06 19:37	<DIR>	d--------	C:\Program Files\CCleaner2008-09-06 16:20 . 2008-09-06 16:20	<DIR>	d--------	C:\Program Files\Lavasoft2008-09-06 16:20 . 2008-09-07 17:02	<DIR>	d--------	C:\Program Files\Common Files\Wise Installation Wizard2008-09-06 16:20 . 2008-09-06 16:22	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft2008-09-06 11:24 . 2008-04-14 00:15	15,104	--a------	C:\WINDOWS\system32\drivers\usbscan.sys2008-09-06 11:24 . 2008-04-14 00:15	15,104	--a--c---	C:\WINDOWS\system32\dllcache\usbscan.sys2008-09-06 09:44 . 2008-09-06 09:46	<DIR>	d--------	C:\WINDOWS\NV2440828.TMP2008-09-06 09:43 . 2008-09-06 09:43	<DIR>	d--------	C:\NVIDIA2008-09-05 23:52 . 2008-09-05 23:53	162,816	--a------	C:\WINDOWS\system32\fmod.dll2008-09-05 23:38 . 2008-09-05 23:38	<DIR>	d--------	C:\WINDOWS\system32\URTTemp2008-09-05 23:38 . 2008-09-05 23:56	<DIR>	d--------	C:\Program Files\Advanced Registry Fix2008-09-05 23:09 . 2008-04-14 22:51	294,912	-----c---	C:\WINDOWS\system32\dllcache\dlimport.exe2008-09-05 22:49 . 2008-09-05 22:49	<DIR>	d--------	C:\Documents and Settings\user\Dane aplikacji\FindeXer2008-09-05 22:46 . 2008-09-05 22:53	<DIR>	d--------	C:\Program Files\YzShadow2008-09-05 22:46 . 2008-09-05 22:53	<DIR>	d--------	C:\Program Files\UberIcon2008-09-05 22:46 . 2008-09-05 22:53	<DIR>	d--------	C:\Program Files\TrueTransparency2008-09-05 22:46 . 2008-09-05 22:53	<DIR>	d--------	C:\Program Files\tclock2_1202008-09-05 22:46 . 2008-09-05 22:46	<DIR>	d--------	C:\Program Files\RK Launcher2008-09-05 22:46 . 2008-09-05 22:53	<DIR>	d--------	C:\Program Files\MacSearch_v.1.4.32008-09-05 22:46 . 2008-09-05 22:53	<DIR>	d--------	C:\Program Files\iColorFolder2008-09-05 22:46 . 2008-09-05 22:53	<DIR>	d--------	C:\Program Files\CursorXP2008-09-05 22:14 . 2008-09-05 22:54	<DIR>	d--------	C:\Documents and Settings\user\UserData2008-09-05 22:10 . 2008-09-05 22:54	<DIR>	d--------	C:\Program Files\RegistryQuick2008-09-05 20:36 . 2008-09-05 22:45	3,936,310	--a------	C:\WINDOWS\BricoPack Wallpaper.bmp2008-09-05 20:35 . 2008-09-05 22:55	<DIR>	d--------	C:\WINDOWS\BricoPacks2008-09-05 20:16 . 2004-09-03 23:43	199	--a------	C:\WINDOWS\system32\paypal.url2008-09-05 20:16 . 2006-05-17 04:46	104	--a------	C:\WINDOWS\system32\winx.url2008-09-05 19:32 . 2008-09-05 19:32	<DIR>	d--------	C:\WINDOWS\system32\pl-pl2008-09-05 19:32 . 2008-09-05 19:32	<DIR>	d--------	C:\WINDOWS\l2schemas2008-09-05 19:31 . 2008-09-05 19:31	<DIR>	d--------	C:\WINDOWS\ServicePackFiles2008-09-05 19:30 . 2006-12-29 20:02	67,866	---------	C:\WINDOWS\system32\drivers\netwlan5.img2008-09-05 19:30 . 2006-12-29 20:21	64,352	---------	C:\WINDOWS\system32\drivers\ativmc20.cod2008-09-05 19:29 . 2006-12-29 00:31	19,569	--a------	C:\WINDOWS\[u]0[/u]02661_.tmp2008-09-05 17:41 . 2008-09-11 09:38	<DIR>	d--------	C:\Program Files\xp-AntiSpy2008-09-05 14:24 . 2008-09-05 14:26	<DIR>	d--------	C:\Program Files\epson2008-09-05 14:24 . 2008-09-05 14:24	<DIR>	d--------	C:\Documents and Settings\user\Dane aplikacji\InstallShield2008-09-05 14:24 . 2008-09-05 14:24	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\EPSON2008-09-05 14:23 . 2008-09-05 14:23	26	--a------	C:\WINDOWS\CDEDX7400EXPORT.ini2008-09-05 14:21 . 2008-04-14 00:15	32,128	--a------	C:\WINDOWS\system32\drivers\usbccgp.sys2008-09-02 19:57 . 2008-09-06 17:47	<DIR>	d--------	C:\Program Files\Blackd Tools2008-09-02 07:28 . 2008-09-02 07:28	<DIR>	d--------	C:\Documents and Settings\user\Dane aplikacji\Gadu-Gadu2008-09-02 07:00 . 2008-09-11 22:45	<DIR>	d--------	C:\Documents and Settings\user\Dane aplikacji\uTorrent2008-09-02 06:45 . 2007-07-09 06:48	20,622	--a------	C:\WINDOWS\system32\drivers\bcmndis.sys2008-09-02 06:33 . 2008-09-02 06:33	<DIR>	d--------	C:\symbole2008-09-01 21:38 . 2008-09-01 21:38	<DIR>	d--------	C:\Documents and Settings\user\Dane aplikacji\Ahead2008-09-01 21:38 . 2008-09-01 21:38	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Ahead2008-09-01 21:35 . 2008-09-01 21:35	<DIR>	d--------	C:\Program Files\Nero2008-09-01 21:35 . 2008-09-01 21:37	<DIR>	d--------	C:\Program Files\Common Files\Ahead2008-09-01 21:35 . 2008-09-01 21:35	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Nero2008-09-01 20:24 . 2008-09-13 10:18	<DIR>	d--------	C:\Documents and Settings\user\Dane aplikacji\Tibia2008-09-01 20:23 . 2008-09-01 20:23	<DIR>	d--h-----	C:\WINDOWS\system32\GroupPolicy2008-09-01 20:21 . 2008-09-13 10:19	<DIR>	d--------	C:\Program Files\Tibia2008-09-01 19:21 . 2008-09-01 19:53	<DIR>	d--------	C:\Program Files\RegistryFix Mantra2008-09-01 19:16 . 2008-09-05 19:47	<DIR>	d--------	C:\Program Files\RegCleaner2008-09-01 18:48 . 2008-09-01 18:49	<DIR>	d--------	C:\Documents and Settings\user\Gadu-Gadu2008-09-01 17:57 . 2008-09-13 20:12	103,736	--a------	C:\WINDOWS\system32\PnkBstrB.exe2008-09-01 17:57 . 2008-09-01 20:45	66,872	--a------	C:\WINDOWS\system32\PnkBstrA.exe2008-09-01 17:57 . 2008-09-13 20:12	22,328	--a------	C:\WINDOWS\system32\drivers\PnkBstrK.sys2008-09-01 17:56 . 2008-09-01 17:56	<DIR>	d--------	C:\WINDOWS\system32\LogFiles2008-09-01 17:48 . 2008-09-01 17:48	<DIR>	dr-h-----	C:\Documents and Settings\user\Dane aplikacji\SecuROM2008-09-01 17:48 . 2008-09-01 17:48	107,888	--a------	C:\WINDOWS\system32\CmdLineExt.dll2008-09-01 17:30 . 2008-09-01 17:30	<DIR>	d--------	C:\Direct 92008-09-01 17:14 . 2008-09-01 17:14	<DIR>	d--------	C:\Documents and Settings\user\Dane aplikacji\teamspeak22008-09-01 17:14 . 2008-09-01 17:14	34,064	--a------	C:\WINDOWS\system32\lhacm.acm2008-09-01 17:09 . 2008-09-01 17:09	0	--a------	C:\WINDOWS\nsreg.dat2008-09-01 17:01 . 2008-09-01 18:49	<DIR>	d--------	C:\Program Files\Tlen.pl2008-09-01 17:01 . 2008-09-01 17:02	<DIR>	d--------	C:\Documents and Settings\user\Dane aplikacji\Tlen.pl2008-08-28 07:58 . 2008-08-28 07:59	<DIR>	d--------	C:\WINDOWS\system32\MsDtc.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-09-11 16:21	14,656	----a-w	C:\WINDOWS\gdrv.sys2008-09-11 09:57	361,344	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys2008-09-06 17:51	---------	d--h--w	C:\Program Files\InstallShield Installation Information2008-08-28 06:39	86,016	----a-w	C:\WINDOWS\system32\OpenAL32.dll2008-08-28 06:39	262,144	----a-w	C:\WINDOWS\system32\wrap_oal.dll2008-08-28 06:38	---------	d-----w	C:\Program Files\Futuremark2008-08-28 06:36	---------	d-----w	C:\Program Files\My Company Name2008-08-28 06:36	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\nView_Profiles2008-08-28 06:34	---------	d-----w	C:\Program Files\Common Files\InstallShield2008-08-28 06:31	---------	d-----w	C:\Program Files\Realtek2008-08-28 06:11	---------	d-----w	C:\Program Files\Yahoo!2008-08-28 06:03	---------	d-----w	C:\Program Files\microsoft frontpage2008-08-28 06:01	---------	d-----w	C:\Program Files\Usługi online2008-07-25 08:34	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll2008-07-25 08:34	683,520	----a-w	C:\WINDOWS\system32\divx.dll2008-07-23 16:50	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll2008-07-16 18:51	2,041,363	----a-w	C:\WINDOWS\system32\x264vfw.dll.------- Sigcheck -------2008-09-05 17:42  359040  27a5959c94ee173a063ca06bd14f021a	C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys2008-09-11 11:57  361344  b0870dc4ae8a0a40c45ec66bcde3e523	C:\WINDOWS\ServicePackFiles\i386\tcpip.sys2008-09-11 11:57  361344  b0870dc4ae8a0a40c45ec66bcde3e523	C:\WINDOWS\system32\dllcache\tcpip.sys2008-09-11 11:57  361344  b0870dc4ae8a0a40c45ec66bcde3e523	C:\WINDOWS\system32\drivers\tcpip.sys.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Gadu-Gadu"="D:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]"EPSON Stylus DX7400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE" [2007-04-12 182272][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"msacm.l3fhg"= mp3fhg.acm"msacm.divxa32"= divxa32.acm"VIDC.X264"= x264vfw.dll"VIDC.HFYU"= huffyuv.dll"vidc.i263"= i263_32.drv"VIDC.YV12"= yv12vfw.dll[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]--a------ 2007-03-01 15:57 153136 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]--a------ 2008-05-16 14:01 13529088 C:\WINDOWS\system32\nvcpl.dll[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]--a------ 2008-05-16 14:01 86016 C:\WINDOWS\system32\nvmctray.dll[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]--a------ 2007-06-25 08:47 1629480 C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]-r------- 2005-05-03 04:43 69632 C:\WINDOWS\Alcmtr.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]--a------ 2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]-r------- 2006-10-30 05:49 16269312 C:\WINDOWS\RTHDCPL.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]"wuauserv"=2 (0x2)"NBService"=3 (0x3)"InCDsrv"=2 (0x2)"aawservice"=2 (0x2)"wscsvc"=2 (0x2)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="D:\\Program Files\\uTorrent\\uTorrent.exe"="D:\\Program Files\\Empire Interactive\\FlatOut Ultimate Carnage\\Fouc.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"=*Newly Created Service* - PROCEXP90.- - - - USUNIĘTO PUSTE WPISY - - - -MSConfigStartUp-WinampAgent - C:\Program Files\Winamp\winampa.exe.------- Skan uzupełniający -------.FireFox -: Profile - C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\FF -: plugin - D:\Program Files\Mozilla Firefox\plugins\npnul32.dll.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-09-13 22:43:59Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.Czas ukończenia: 2008-09-13 22:44:18ComboFix-quarantined-files.txt  2008-09-13 20:44:16Przed: 14,322,843,648 bajt˘w wolnychPo: 14,500,073,472 bajt˘w wolnych199
Mateusz J.
komentarz
komentarz

Log czysty.

Wywal folder C:\QooBox

Przeskanuj komputer skanerem online (Kaspersky) raport pokaż na forum.

Czy problem ustąpił?

maniaczekkk
komentarz
komentarz

Tu z Kaperskiego online

C:\Documents and Settings\LocalService\Cookies\index.dat	  Object is locked	  pominiętyC:\Documents and Settings\LocalService\NTUSER.DAT 	Object is locked 	pominiętyC:\Documents and Settings\LocalService\ntuser.dat.LOG 	Object is locked 	pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat 	Object is locked 	pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat 	Object is locked 	pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat 	Object is locked 	pominiętyC:\Documents and Settings\NetworkService\NTUSER.DAT 	Object is locked 	pominiętyC:\Documents and Settings\NetworkService\ntuser.dat.LOG 	Object is locked 	pominiętyC:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat 	Object is locked 	pominiętyC:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	pominiętyC:\Documents and Settings\user\Cookies\index.dat 	Object is locked 	pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\cert8.db 	Object is locked 	pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\content-prefs.sqlite 	Object is locked 	pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\cookies.sqlite 	Object is locked 	pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\downloads.sqlite 	Object is locked 	pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\formhistory.sqlite 	Object is locked 	pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\key3.db 	Object is locked 	pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\parent.lock 	Object is locked 	pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\permissions.sqlite 	Object is locked 	pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\places.sqlite 	Object is locked 	pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\places.sqlite-journal 	Object is locked 	pominiętyC:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\search.sqlite 	Object is locked 	pominiętyC:\Documents and Settings\user\ntuser.dat 	Object is locked 	pominiętyC:\Documents and Settings\user\ntuser.dat.LOG 	Object is locked 	pominiętyC:\Documents and Settings\user\Pulpit\ECC 5.2\ECC 5.2.exe 	Zainfekowanych: Trojan-PSW.Win32.Tibia.mo 	pominiętyC:\Documents and Settings\user\Pulpit\ECC 5.2.zip/ECC 5.2/ECC 5.2.exe 	Zainfekowanych: Trojan-PSW.Win32.Tibia.mo 	pominiętyC:\Documents and Settings\user\Pulpit\ECC 5.2.zip 	ZIP: zainfekowany - 1 	pominiętyC:\Documents and Settings\user\Pulpit\ipscan.exe 	Zainfekowanych: not-a-virus:NetTool.Win32.Portscan.c 	pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat 	Object is locked 	pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\Cache\_CACHE_001_ 	Object is locked 	pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\Cache\_CACHE_002_ 	Object is locked 	pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\Cache\_CACHE_003_ 	Object is locked 	pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\Cache\_CACHE_MAP_ 	Object is locked 	pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\puq02ahl.default\urlclassifier3.sqlite 	Object is locked 	pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Historia\History.IE5\index.dat 	Object is locked 	pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Historia\History.IE5\MSHist012008091320080914\index.dat 	Object is locked 	pominiętyC:\Documents and Settings\user\Ustawienia lokalne\temp\etilqs_P8BwmVYUDA2T6NuAcFAy 	Object is locked 	pominiętyC:\Documents and Settings\user\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat 	Object is locked 	pominiętyC:\RECYCLER\S-1-5-21-1960408961-1177238915-839522115-1003\Dc1\Quarantine\C\WINDOWS\services.exe.vir 	Zainfekowanych: Trojan.Win32.Filco.a 	pominiętyC:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	pominiętyC:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP22\A0016202.exe/WISE0005.BIN 	Zainfekowanych: not-a-virus:RiskTool.Win32.CloseApp.a 	pominiętyC:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP22\A0016202.exe 	WiseSFX: zainfekowany - 1 	pominiętyC:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41\A0037267.exe 	Zainfekowanych: Trojan.Win32.Filco.a 	pominiętyC:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41\change.log 	Object is locked 	pominiętyC:\WINDOWS\Debug\PASSWD.LOG 	Object is locked 	pominiętyC:\WINDOWS\SchedLgU.Txt 	Object is locked 	pominiętyC:\WINDOWS\Sti_Trace.log 	Object is locked 	pominiętyC:\WINDOWS\system32\CatRoot2\edb.log 	Object is locked 	pominiętyC:\WINDOWS\system32\CatRoot2\tmp.edb 	Object is locked 	pominiętyC:\WINDOWS\system32\config\AppEvent.Evt 	Object is locked 	pominiętyC:\WINDOWS\system32\config\default 	Object is locked 	pominiętyC:\WINDOWS\system32\config\default.LOG 	Object is locked 	pominiętyC:\WINDOWS\system32\config\SAM 	Object is locked 	pominiętyC:\WINDOWS\system32\config\SAM.LOG 	Object is locked 	pominiętyC:\WINDOWS\system32\config\SecEvent.Evt 	Object is locked 	pominiętyC:\WINDOWS\system32\config\SECURITY 	Object is locked 	pominiętyC:\WINDOWS\system32\config\SECURITY.LOG 	Object is locked 	pominiętyC:\WINDOWS\system32\config\software 	Object is locked 	pominiętyC:\WINDOWS\system32\config\software.LOG 	Object is locked 	pominiętyC:\WINDOWS\system32\config\SysEvent.Evt 	Object is locked 	pominiętyC:\WINDOWS\system32\config\system 	Object is locked 	pominiętyC:\WINDOWS\system32\config\system.LOG 	Object is locked 	pominiętyC:\WINDOWS\system32\h323log.txt 	Object is locked 	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	Object is locked 	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	Object is locked 	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	Object is locked 	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	Object is locked 	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	Object is locked 	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	Object is locked 	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	Object is locked 	pominiętyC:\WINDOWS\wiadebug.log 	Object is locked 	pominiętyC:\WINDOWS\wiaservc.log 	Object is locked 	pominiętyD:\Program Files\Teamspeak2_RC2\TSClient.log 	Object is locked 	pominiętyD:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	pominiętyD:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41\change.log 	Object is locked 	pominiętyE:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	pominiętyE:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41\change.log 	Object is locked 	pominiętyF:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	pominiętyF:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41\change.log 	Object is locked 	pominięty
Gość
komentarz
komentarz

Pobierz ---> The Avenger

Wklej do niego ten tekst:

Folders to delete:C:\Documents and Settings\user\Pulpit\ECC 5.2C:\RECYCLERC:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP22C:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41Files to delete:C:\Documents and Settings\user\Pulpit\ipscan.exe

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

maniaczekkk
komentarz
komentarz
Logfile of The Avenger Version 2.0, ? by Swandog46http://swandog46.geekstogo.comPlatform:  Windows XP*******************Script file opened successfully.Script file read successfully.Backups directory opened successfully at C:\Avenger*******************Beginning to process script file:Rootkit scan active.No rootkits found!Folder "C:\Documents and Settings\user\Pulpit\ECC 5.2" deleted successfully.Folder "C:\RECYCLER" deleted successfully.Folder "C:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP22" deleted successfully.Folder "C:\System Volume Information\_restore{0EC784BF-1EAD-402B-B176-71B66B1D07D7}\RP41" deleted successfully.File "C:\Documents and Settings\user\Pulpit\ipscan.exe" deleted successfully.Completed script processing.*******************Finished!  Terminate.Edit: Próbując oczyścić rejestr programy zajmujące się tym zawieszają mi się.. padły już- RegCleaner- System Mechanic 8- CCcleaner i kilka innych mniej znanych;oEdit2:Niby System Mechnic dał rade oczyścić rejestr lecz przy usuwanie spyware następna zawiechaKod błędu:EventType : BEX	 P1 : services.exe	 P2 : 5.1.2600.5512	 P3 : 48025b9aP4 : kernel32.dll	 P5 : 5.1.2600.5512	 P6 : 48039212	 P7 : 00000408P8 : c0000005	 P9 : 00000008
Gość
komentarz
komentarz

Usunęło się - powinno być OK!

  • 2 tygodnie później...
maniaczekkk
komentarz
komentarz

Proces SkyTel.exe pojawił sie ponownie i ponownie go usunołem :/

Mateusz J.
komentarz
komentarz

Proces SkyTel.exe pojawił sie ponownie i ponownie go usunołem :/
To poprawny proces pochodzący od Realtek.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.