snip91 komentarz 30 listopada 2008 komentarz 30 listopada 2008 Daj log z HijackThis v2.0.2. Do tego ComboFix.
tomuuu komentarz 30 listopada 2008 Autor komentarz 30 listopada 2008 Log z Combofixa ComboFix 08-11-29.03 - Tom 2008-11-30 15:08:46.1 - [b]FAT32[/b]x86Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.78 [GMT 1:00]Uruchomiony z: I:\ComboFix.exe * Utworzono nowy punkt przywracania * Resident AV is active[b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b].((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).C:\Autorun.infc:\documents and settings\Tom\Menu Start\Programy\Download programs.urlc:\documents and settings\Tom\Menu Start\Programy\Games.urlc:\documents and settings\Tom\Menu Start\Programy\Translator.urlc:\documents and settings\Tom\Menu Start\Programy\Videos.urlc:\documents and settings\Tom\Ulubione\Download programs.urlc:\documents and settings\Tom\Ulubione\Games.urlc:\documents and settings\Tom\Ulubione\Translator.urlc:\documents and settings\Tom\Ulubione\Videos.urlc:\program files\myglobalsearchc:\program files\myglobalsearch\bar\History\searchc:\windows\IE4 Error Log.txtc:\windows\system\mmtaskclean.logc:\windows\system\win32in.dllc:\windows\system\win32out.dllc:\windows\system32\AdCachec:\windows\system32\Panel sterowania.{21EC2020-3AEA-1069-A2DD-08002B30309D}c:\windows\system32\settings.dllD:\Autorun.infE:\Autorun.infG:\Autorun.infH:\Autorun.infI:\Autorun.inf.((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_CREATEPROCESS-------\Service_CreateProcess((((((((((((((((((((((((( Pliki utworzone od 2008-10-28 do 2008-11-30 ))))))))))))))))))))))))))))))).2010-11-30 12:46 . 2010-11-30 12:46 <DIR> d-------- c:\program files\ESET2008-11-30 11:05 . 2008-11-30 11:05 410,976 --a------ c:\windows\system32\deploytk.dll2008-11-30 11:05 . 2008-11-30 11:05 73,728 --a------ c:\windows\system32\javacpl.cpl2008-11-30 11:04 . 2008-11-30 11:04 <DIR> d-------- c:\program files\Java2008-11-30 10:30 . 2008-11-30 10:30 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\ESET2008-11-26 22:45 . 2008-11-26 22:45 221 --a------ c:\windows\NCLogConfig.ini2008-11-26 11:32 . 2008-11-26 11:32 <DIR> dr------- c:\documents and settings\LocalService\Ulubione2008-11-13 16:47 . 2008-11-13 16:47 <DIR> d-------- c:\program files\Common Files\PCSuite2008-11-13 16:47 . 2008-11-13 16:47 <DIR> d-------- c:\program files\Common Files\Nokia2008-11-02 09:00 . 2008-11-29 23:01 54,156 --ah----- c:\windows\QTFont.qfn2008-11-02 09:00 . 2008-11-02 09:00 1,409 --a------ c:\windows\QTFont.for2008-10-27 19:11 . 2008-10-27 19:11 <DIR> d-------- c:\program files\NETPLUS.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2007-12-12 19:08 17,144 ----a-w c:\documents and settings\Tom\Dane aplikacji\GDIPFONTCACHEV1.DAT2003-08-27 10:49 3,424 ----a-w c:\windows\inf\OTHER\cmiainfo.sys.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]"Skype"="c:\program files\Skype\Phone\Skype.exe" [2007-07-02 23237416]"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-10-02 1124352]"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"SiS Tray"="c:\windows\System32\sistray.EXE" [2003-10-30 667648]"WinampAgent"="d:\program files\Winamp\winampa.exe" [2003-12-13 33792]"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-30 136600]"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-07-01 1447168][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]c:\documents and settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]Adobe Gamma Loader.exe.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-12-16 113664]HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]Adobe Reader Speed Launch.lnk - d:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 29696][HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EVEREST AutoStart]--a------ 2008-05-18 23:27 2093664 e:\@instalki\@essential\@@inne ważne\everestultimate\everest.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FinePrint Dispatcher v5]--a------ 2004-08-25 12:26 442368 c:\windows\system32\spool\drivers\w32x86\3\fpdisp5a.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixCamera]--a------ 2007-02-12 14:50 20480 c:\windows\FixCamera.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]--a------ 2007-06-29 06:24 286720 c:\program files\QuickTime\QTTask.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiS Windows KeyHook]--a------ 2003-10-30 14:09 249856 c:\windows\system32\Keyhook.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]--a------ 2002-07-12 11:15 106496 c:\windows\SiSUSBrg.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EXPLORER.EXE]--a------ 2004-08-04 00:44 1033728 c:\windows\explorer.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Resume copy]--a------ 2006-12-16 20:25 73728 c:\windows\copyfstq.exe[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusOverride"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\BitTorrent\\bittorrent.exe"="d:\\Program Files\\Windows Commander\\WINCMD32.EXE"="c:\\Program Files\\DNA\\btdna.exe"="d:\\Program Files\\Staff-FTP\\sftp.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"8461:TCP"= 8461:TCP:GoD High Port"8462:TCP"= 8462:TCP:GoD Low PortR0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-08-23 28544]R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-07-01 34312][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{345ce5f0-8d38-11db-a176-000b6ab2b598}]\Shell\AutoRun\command - J:\EXPLORER.EXE\Shell\explore\Command - J:\EXPLORER.EXE\Shell\open\Command - J:\EXPLORER.EXE[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d9c811c-b6d6-11dc-a85a-000b6ab2b598}]\Shell\AutoRun\command - J:\EXPLORER.EXE\Shell\explore\Command - J:\EXPLORER.EXE\Shell\open\Command - J:\EXPLORER.EXE[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c798e962-90b1-11dd-b2a2-000b6ab2b598}]\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe.Zawartość folderu 'Zaplanowane zadania'2008-11-13 c:\windows\Tasks\AppleSoftwareUpdate.job- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 13:42].- - - - USUNIĘTO PUSTE WPISY - - - -HKLM-Run-Cmaudio - cmicnfg.cplMSConfigStartUp-AAWTray - c:\program files\Lavasoft\Ad-Aware 2007\AAWTray.exeMSConfigStartUp-BearShare - c:\program files\BearShare\BearShare.exeMSConfigStartUp-wsctf - wsctf.exe.------- Skan uzupełniający -------.FireFox -: Profile - c:\documents and settings\Tom\Dane aplikacji\Mozilla\Firefox\Profiles\[u]0[/u]fp3ug2u.default\FireFox -: prefs.js - STARTUP.HOMEPAGE - www.wp.plFF -: plugin - c:\program files\DNA\plugins\npbtdna.dllFF -: plugin - c:\program files\Java\jre6\bin\new_plugin\npdeploytk.dllFF -: plugin - c:\program files\Java\jre6\bin\new_plugin\npjp2.dllFF -: plugin - d:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dllFF -: plugin - d:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dllFF -: plugin - d:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dllFF -: plugin - d:\program files\Mozilla Firefox\plugins\np32dsw.dllFF -: plugin - d:\program files\Mozilla Firefox\plugins\npbittorrent.dllFF -: plugin - d:\program files\Mozilla Firefox\plugins\npdeploytk.dllFF -: plugin - d:\program files\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dllFF -: plugin - d:\program files\Mozilla Firefox\plugins\npnul32.dllFF -: plugin - d:\program files\Mozilla Firefox\plugins\npqtplugin.dllFF -: plugin - d:\program files\Mozilla Firefox\plugins\npqtplugin2.dllFF -: plugin - d:\program files\Mozilla Firefox\plugins\npqtplugin3.dllFF -: plugin - d:\program files\Mozilla Firefox\plugins\npqtplugin4.dllFF -: plugin - d:\program files\Mozilla Firefox\plugins\npqtplugin5.dll.**************************************************************************catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-11-30 15:12:02Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPIskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.------------------------ Pozostałe uruchomione procesy ------------------------.c:\windows\SYSTEM32\RUNDLL32.EXEc:\program files\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXEc:\program files\JAVA\JRE6\BIN\JQS.EXEc:\program files\MICROSOFT SQL SERVER\MSSQL.1\MSSQL\BINN\SQLSERVR.EXEc:\program files\MICROSOFT SQL SERVER\90\SHARED\SQLWRITER.EXEc:\program files\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXEc:\windows\system32\wscntfy.exec:\program files\PC Connectivity Solution\ServiceLayer.exec:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exec:\program files\HP\Digital Imaging\Product Assistant\bin\hprblog.exec:\program files\Common Files\Nokia\MPAPI\MPAPI3s.exec:\program files\SKYPE\PLUGIN MANAGER\SKYPEPM.EXEc:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe.**************************************************************************.Czas ukończenia: 2008-11-30 15:13:50 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt 2008-11-30 14:13:46Przed: 3 359 096 832 bajtów wolnychPo: 3,446,169,600 bajtów wolnych188
Gość komentarz 30 listopada 2008 komentarz 30 listopada 2008 Log jest prawie czysty. Do Notatnika wklej: Windows Registry Editor Version 5.00[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EXPLORER.EXE][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{345ce5f0-8d38-11db-a176-000b6ab2b598}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d9c811c-b6d6-11dc-a85a-000b6ab2b598}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c798e962-90b1-11dd-b2a2-000b6ab2b598}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG>>> plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru). Zrestartuj komputer. Usuń ręcznie folder C:\Qoobox, Przeczyść komputer Ccleanerem Z folderu "System Volume Information" usuniesz kopie "wirusów" poprzez chwilowe wyłączenie "Przywracania Systemu": >Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka). Użyj tego programu ---> Dr.WEB CureIt!.
tomuuu komentarz 30 listopada 2008 Autor komentarz 30 listopada 2008 Niestety, nadal poszczególne partycje - po ich wybraniu w Moim komputerze - nadal otwierają się w nowych oknach, a nie w tym samym. Zrobiłem wszystko, jak powyżej.
Mateusz J. komentarz 1 grudnia 2008 komentarz 1 grudnia 2008 Do notatnika wklej: Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\Folder\shell][HKEY_CLASSES_ROOT\Folder\shell\explore]"BrowserFlags"=dword:00000022"ExplorerFlags"=dword:00000021[HKEY_CLASSES_ROOT\Folder\shell\explore\command]@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\ 65,00,20,00,2f,00,65,00,2c,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,\ 00,25,00,49,00,2c,00,25,00,4c,00,00,00[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec]@="[ExploreFolder(\"%l\", %I, %S)]""NoActivateHandler"=""[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\application]@="Folders"[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\ifexec]@="[]"[HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec\topic]@="AppProperties"[HKEY_CLASSES_ROOT\Folder\shell\open]"BrowserFlags"=dword:00000010"ExplorerFlags"=dword:00000012[HKEY_CLASSES_ROOT\Folder\shell\open\command]@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\ 65,00,20,00,2f,00,69,00,64,00,6c,00,69,00,73,00,74,00,2c,00,25,00,49,00,2c,\ 00,25,00,4c,00,00,00[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec]@="[ViewFolder(\"%l\", %I, %S)]""NoActivateHandler"=""[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\application]@="Folders"[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\ifexec]@="[]"[HKEY_CLASSES_ROOT\Folder\shell\open\ddeexec\topic]@="AppProperties"[-HKEY_CLASSES_ROOT\Directory\shell\explore][-HKEY_CLASSES_ROOT\Directory\shell\open][-HKEY_CLASSES_ROOT\Drive\shell\open][HKEY_CLASSES_ROOT\Drive\shell]@="none"[HKEY_CLASSES_ROOT\Directory\shell]@="none"[HKEY_CLASSES_ROOT\Folder\shell]@=- Plik ==> Zapisz jako ==> Zmień rozszerzenie na Wszystkie pliki ==> Zapisz pod nazwą FIX.REG Uruchom utworzony plik FIX.REG i potwierdź dodanie do Rejestru i zresetuj komputer.
tomuuu komentarz 1 grudnia 2008 Autor komentarz 1 grudnia 2008 Bardzo, ale to bardzo dziękuję - jesiona Zrobiłem i wszystko wróciło do porządku. Jesteś wielki
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.