JackassJGC utworzono 17 grudnia 2008 utworzono 17 grudnia 2008 Logfile of Trend Micro HijackThis v2.0.2Scan saved at 18:35:42, on 2007-12-17Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.5730.0013)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exeE:\Alcohol 120\StarWind\StarWindServiceAE.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exeC:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exeE:\BitDefender\vsserv.exeC:\WINDOWS\system32\wscntfy.exeE:\Mozilla Firefox\firefox.exeC:\WINDOWS\system32\wuauclt.exeE:\Gadu-Gadu\gg.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/pl/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaF3 - REG:win.ini: load=C:\WINDOWS\svchost.exeO2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\2.bin\MGSBAR.DLLO3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\2.bin\MGSBAR.DLLO4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exeO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')O4 - Startup: DIALNET.lnk = ?O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exeO8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000O8 - Extra context menu item: Pobierz z &BitSpirit - E:\BitSpirit\bsurl.htmO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLLO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{B174F00F-FD64-4824-A3F7-15D12E18923F}: NameServer = 217.30.129.149 217.30.137.200O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exeO23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe (file missing)O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - E:\Testowanie stabilności\SiSoftware Sandra Lite 2009\RpcAgentSrv.exeO23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Alcohol 120\StarWind\StarWindServiceAE.exeO23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - E:\BitDefender\vsserv.exeO23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe--End of file - 5555 bytes A tu log z Combofix: ComboFix 08-12-16.03 - Tomek 2008-12-17 18:56:04.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.2047.1588 [GMT 1:00]Uruchomiony z: c:\documents and settings\Tomek\Pulpit\ComboFix.exe * Utworzono nowy punkt przywracania[b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b].((((((((((((((((((((((((( Pliki utworzone od 2008-11-17 do 2008-12-17 ))))))))))))))))))))))))))))))).2008-12-01 20:53 . 2008-12-01 20:53 45,056 --a------ c:\windows\system32\amdcalrt.dll2008-12-01 20:53 . 2008-12-01 20:53 45,056 --a------ c:\windows\system32\amdcalcl.dll2008-12-01 20:50 . 2008-12-01 20:50 3,252,224 --a------ c:\windows\system32\Amdcaldd.dll.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-12-17 17:55 --------- d-----w c:\documents and settings\Tomek\Dane aplikacji\OpenOffice.org22008-12-01 22:13 3,452,928 ----a-w c:\windows\system32\drivers\ati2mtag.sys2008-12-01 20:52 425,984 ----a-w c:\windows\system32\ATIDEMGX.dll2008-12-01 20:51 318,464 ----a-w c:\windows\system32\ati2dvag.dll2008-12-01 20:46 11,304,960 ----a-w c:\windows\system32\atioglxx.dll2008-12-01 20:41 188,416 ----a-w c:\windows\system32\atipdlxx.dll2008-12-01 20:40 43,520 ----a-w c:\windows\system32\ati2edxx.dll2008-12-01 20:40 26,112 ----a-w c:\windows\system32\Ati2mdxx.exe2008-12-01 20:40 147,456 ----a-w c:\windows\system32\Oemdspif.dll2008-12-01 20:40 143,360 ----a-w c:\windows\system32\ati2evxx.dll2008-12-01 20:38 598,016 ----a-w c:\windows\system32\ati2evxx.exe2008-12-01 20:37 53,248 ----a-w c:\windows\system32\ATIDDC.DLL2008-12-01 20:27 4,120,384 ----a-w c:\windows\system32\ati3duag.dll2008-12-01 20:19 307,200 ----a-w c:\windows\system32\atiiiexx.dll2008-12-01 20:11 2,495,360 ----a-w c:\windows\system32\ativvaxx.dll2008-12-01 19:57 48,640 ----a-w c:\windows\system32\amdpcom32.dll2008-12-01 19:53 401,408 ----a-w c:\windows\system32\atikvmag.dll2008-12-01 19:52 86,016 ----a-w c:\windows\system32\atiadlxx.dll2008-12-01 19:52 17,408 ----a-w c:\windows\system32\atitvo32.dll2008-12-01 19:51 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll2008-12-01 19:50 286,720 ----a-w c:\windows\system32\atiok3x2.dll2008-12-01 19:45 577,536 ----a-w c:\windows\system32\ati2cqag.dll2008-12-01 13:35 593,920 ------w c:\windows\system32\ati2sgag.exe2008-10-27 09:04 70,992 ----a-w c:\windows\system32\XAPOFX1_2.dll2008-10-27 09:04 514,384 ----a-w c:\windows\system32\XAudio2_3.dll2008-10-27 09:04 235,856 ----a-w c:\windows\system32\xactengine3_3.dll2008-10-27 09:04 23,376 ----a-w c:\windows\system32\X3DAudio1_5.dll2008-10-21 17:51 118,784 ----a-w c:\windows\system32\atibrtmon.exe2008-10-21 16:40 81,920 ----a-w c:\windows\system32\ATIODE.exe2008-10-21 16:40 45,056 ----a-w c:\windows\system32\ATIODCLI.exe2008-10-18 14:26 107,888 ----a-w c:\windows\system32\CmdLineExt.dll2008-10-17 18:18 --------- d-----w c:\documents and settings\Sylwia\Dane aplikacji\foobar20002008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll2008-10-10 03:52 452,440 ----a-w c:\windows\system32\d3dx10_40.dll2008-10-10 03:52 4,379,984 ----a-w c:\windows\system32\D3DX9_40.dll2008-10-10 03:52 2,036,576 ----a-w c:\windows\system32\D3DCompiler_40.dll2008-10-02 23:46 81,920 ----a-w c:\windows\system32\frapsvid.dll2008-09-30 17:01 22,328 ----a-w c:\documents and settings\Tomek\Dane aplikacji\PnkBstrK.sys2008-09-30 17:00 669,184 ----a-w c:\windows\system32\pbsvc.exe2008-09-30 17:00 66,872 ----a-w c:\windows\system32\PnkBstrA.exe2008-09-28 08:20 315,392 ----a-w c:\windows\HideWin.exe2006-06-24 13:48 32,768 ----a-w c:\windows\inf\UpdateUSB.exe.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="shell32" [X][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"NoRecentDocsNetHood"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"FirewallOverride"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="e:\\uTorrent\\uTorrent.exe"="e:\\BearShare\\BearShare.exe"="e:\\Gadu-Gadu\\gg.exe"="c:\\WINDOWS\\system32\\PnkBstrA.exe"="c:\\WINDOWS\\system32\\PnkBstrB.exe"="e:\\Testowanie stabilności\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe"="e:\\Testowanie stabilności\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"17223:TCP"= 17223:TCP:BitComet 17223 TCP"17223:UDP"= 17223:UDP:BitComet 17223 UDP[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]"AllowInboundEchoRequest"= 1 (0x1)R0 mv61xx;mv61xx;c:\windows\system32\DRIVERS\mv61xx.sys [2008-06-23 150568]R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2008-09-28 84992]R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\l1e51x86.sys [2008-09-28 38400]S3 SandraAgentSrv;SiSoftware Deployment Agent Service;e:\testowanie stabilności\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe [2007-11-08 98488][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b73af2a5-8d40-11dd-a5ea-00221580875a}]\Shell\AutoRun\command - H:\gr06t.cmd\Shell\explore\Command - H:\gr06t.cmd\Shell\open\Command - H:\gr06t.cmd..------- Skan uzupełniający -------.uStart Page = hxxp://search.bearshare.com/pl/IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000IE: Pobierz z &BitSpirit - e:\bitspirit\bsurl.htmTCP: {B174F00F-FD64-4824-A3F7-15D12E18923F} = 217.30.129.149 217.30.137.200.**************************************************************************catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-12-17 18:56:47Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(764)c:\windows\system32\Ati2evxx.dll.Czas ukończenia: 2008-12-17 18:57:15ComboFix-quarantined-files.txt 2008-12-17 17:57:00ComboFix2.txt 2008-12-17 17:52:02Przed: 11 856 617 472 bajtów wolnychPo: 11,895,689,216 bajtów wolnych135 --- E O F --- 2008-10-15 17:27:06
Mateusz J. komentarz 18 grudnia 2008 komentarz 18 grudnia 2008 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/pl/F3 - REG:win.ini: load=C:\WINDOWS\svchost.exeO2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\2.bin\MGSBAR.DLLO3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\2.bin\MGSBAR.DLL Fix w HijackThis Do notatnika wklej: File::C:\WINDOWS\svchost.exeC:\WINDOWS\system32\amvo.exeFodler:: C:\Program Files\MyGlobalSearchRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"amva"=- W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku: Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum.
JackassJGC komentarz 18 grudnia 2008 Autor komentarz 18 grudnia 2008 Zrobiłem to z combofixem. Chyba dobrze poszło, bo plik się usunął. A co z tym fixem do HijackThix? Co z tym się robi? Ok już wiem:) Dzięki:) Czyli wszystko już dobrze?
Psycholandia komentarz 18 grudnia 2008 komentarz 18 grudnia 2008 Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum. Pokaż log powstały po usunięciu
JackassJGC komentarz 18 grudnia 2008 Autor komentarz 18 grudnia 2008 Logfile of Trend Micro HijackThis v2.0.2Scan saved at 15:16:31, on 2008-12-18Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.5730.0013)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exeC:\Program Files\Java\jre6\bin\jusched.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exeC:\Program Files\Java\jre6\bin\jqs.exeE:\Alcohol 120\StarWind\StarWindServiceAE.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exeC:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exeE:\BitDefender\vsserv.exeC:\WINDOWS\system32\wbem\wmiapsrv.exeC:\WINDOWS\system32\wscntfy.exeE:\foobar2000\foobar2000.exeC:\WINDOWS\explorer.exeE:\Mozilla Firefox\firefox.exeE:\Gadu-Gadu\gg.exeC:\WINDOWS\explorer.exeC:\WINDOWS\system32\wuauclt.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dllO2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dllO2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dllO4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunO4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')O4 - Startup: DIALNET.lnk = ?O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exeO8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000O8 - Extra context menu item: Pobierz z &BitSpirit - E:\BitSpirit\bsurl.htmO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLLO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{B174F00F-FD64-4824-A3F7-15D12E18923F}: NameServer = 217.30.129.149 217.30.137.200O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exeO23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exeO23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe (file missing)O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - E:\Testowanie stabilności\SiSoftware Sandra Lite 2009\RpcAgentSrv.exeO23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Alcohol 120\StarWind\StarWindServiceAE.exeO23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - E:\BitDefender\vsserv.exeO23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe--End of file - 5221 bytes ComboFix 08-12-16.03 - Tomek 2008-12-18 15:18:08.3 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.2047.1404 [GMT 1:00]Uruchomiony z: c:\documents and settings\Tomek\Pulpit\ComboFix.exe.((((((((((((((((((((((((( Pliki utworzone od 2008-11-18 do 2008-12-18 ))))))))))))))))))))))))))))))).2008-12-18 15:00 . 2008-12-18 15:00 <DIR> d-------- c:\windows\LastGood2008-12-18 09:02 . 2008-12-18 09:02 <DIR> d-------- c:\program files\MSXML 4.02008-12-18 09:02 . 2008-12-18 09:02 1,393 --a------ c:\windows\imsins.BAK2008-12-18 08:49 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys2008-12-17 21:08 . 2008-12-17 21:08 <DIR> d-------- c:\windows\Sun2008-12-17 21:05 . 2008-12-17 21:05 <DIR> d-------- c:\program files\Java2008-12-17 21:05 . 2008-12-17 21:05 410,984 --a------ c:\windows\system32\deploytk.dll2008-12-17 21:05 . 2008-12-17 21:05 73,728 --a------ c:\windows\system32\javacpl.cpl2008-12-01 20:53 . 2008-12-01 20:53 45,056 --a------ c:\windows\system32\amdcalrt.dll2008-12-01 20:53 . 2008-12-01 20:53 45,056 --a------ c:\windows\system32\amdcalcl.dll2008-12-01 20:50 . 2008-12-01 20:50 3,252,224 --a------ c:\windows\system32\Amdcaldd.dll.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-12-18 14:16 81,984 ----a-w c:\windows\system32\bdod.bin2008-12-18 13:36 --------- d-----w c:\documents and settings\Tomek\Dane aplikacji\OpenOffice.org22008-12-17 18:20 --------- d-----w c:\documents and settings\Tomek\Dane aplikacji\foobar20002008-12-01 22:13 3,452,928 ----a-w c:\windows\system32\drivers\ati2mtag.sys2008-12-01 20:52 425,984 ----a-w c:\windows\system32\ATIDEMGX.dll2008-12-01 20:51 318,464 ----a-w c:\windows\system32\ati2dvag.dll2008-12-01 20:46 11,304,960 ----a-w c:\windows\system32\atioglxx.dll2008-12-01 20:41 188,416 ----a-w c:\windows\system32\atipdlxx.dll2008-12-01 20:40 43,520 ----a-w c:\windows\system32\ati2edxx.dll2008-12-01 20:40 26,112 ----a-w c:\windows\system32\Ati2mdxx.exe2008-12-01 20:40 147,456 ----a-w c:\windows\system32\Oemdspif.dll2008-12-01 20:40 143,360 ----a-w c:\windows\system32\ati2evxx.dll2008-12-01 20:38 598,016 ----a-w c:\windows\system32\ati2evxx.exe2008-12-01 20:37 53,248 ----a-w c:\windows\system32\ATIDDC.DLL2008-12-01 20:27 4,120,384 ----a-w c:\windows\system32\ati3duag.dll2008-12-01 20:19 307,200 ----a-w c:\windows\system32\atiiiexx.dll2008-12-01 20:11 2,495,360 ----a-w c:\windows\system32\ativvaxx.dll2008-12-01 19:57 48,640 ----a-w c:\windows\system32\amdpcom32.dll2008-12-01 19:53 401,408 ----a-w c:\windows\system32\atikvmag.dll2008-12-01 19:52 86,016 ----a-w c:\windows\system32\atiadlxx.dll2008-12-01 19:52 17,408 ----a-w c:\windows\system32\atitvo32.dll2008-12-01 19:51 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll2008-12-01 19:50 286,720 ----a-w c:\windows\system32\atiok3x2.dll2008-12-01 19:45 577,536 ----a-w c:\windows\system32\ati2cqag.dll2008-12-01 13:35 593,920 ------w c:\windows\system32\ati2sgag.exe2008-10-27 09:04 70,992 ----a-w c:\windows\system32\XAPOFX1_2.dll2008-10-27 09:04 514,384 ----a-w c:\windows\system32\XAudio2_3.dll2008-10-27 09:04 235,856 ----a-w c:\windows\system32\xactengine3_3.dll2008-10-27 09:04 23,376 ----a-w c:\windows\system32\X3DAudio1_5.dll2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys2008-10-23 12:42 286,720 ----a-w c:\windows\system32\gdi32.dll2008-10-21 17:51 118,784 ----a-w c:\windows\system32\atibrtmon.exe2008-10-21 16:40 81,920 ----a-w c:\windows\system32\ATIODE.exe2008-10-21 16:40 45,056 ----a-w c:\windows\system32\ATIODCLI.exe2008-10-18 14:26 107,888 ----a-w c:\windows\system32\CmdLineExt.dll2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll2008-10-10 03:52 452,440 ----a-w c:\windows\system32\d3dx10_40.dll2008-10-10 03:52 4,379,984 ----a-w c:\windows\system32\D3DX9_40.dll2008-10-10 03:52 2,036,576 ----a-w c:\windows\system32\D3DCompiler_40.dll2008-10-03 10:04 247,326 ----a-w c:\windows\system32\strmdll.dll2008-10-02 23:46 81,920 ----a-w c:\windows\system32\frapsvid.dll2008-09-30 17:01 22,328 ----a-w c:\documents and settings\Tomek\Dane aplikacji\PnkBstrK.sys2008-09-30 17:00 669,184 ----a-w c:\windows\system32\pbsvc.exe2008-09-30 17:00 66,872 ----a-w c:\windows\system32\PnkBstrA.exe2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll2008-09-28 08:20 315,392 ----a-w c:\windows\HideWin.exe2006-06-24 13:48 32,768 ----a-w c:\windows\inf\UpdateUSB.exe.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-17 136600][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="shell32" [X][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"NoRecentDocsNetHood"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"FirewallOverride"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="e:\\uTorrent\\uTorrent.exe"="e:\\BearShare\\BearShare.exe"="e:\\Gadu-Gadu\\gg.exe"="c:\\WINDOWS\\system32\\PnkBstrA.exe"="c:\\WINDOWS\\system32\\PnkBstrB.exe"="e:\\Testowanie stabilności\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe"="e:\\Testowanie stabilności\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"17223:TCP"= 17223:TCP:BitComet 17223 TCP"17223:UDP"= 17223:UDP:BitComet 17223 UDP[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]"AllowInboundEchoRequest"= 1 (0x1)R0 mv61xx;mv61xx;c:\windows\system32\DRIVERS\mv61xx.sys [2008-06-23 150568]R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2008-09-28 84992]R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\l1e51x86.sys [2008-09-28 38400]S3 SandraAgentSrv;SiSoftware Deployment Agent Service;e:\testowanie stabilności\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe [2007-11-08 98488]*Newly Created Service* - CATCHME..------- Skan uzupełniający -------.IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000IE: Pobierz z &BitSpirit - e:\bitspirit\bsurl.htmTCP: {B174F00F-FD64-4824-A3F7-15D12E18923F} = 217.30.129.149 217.30.137.200FF - ProfilePath - c:\documents and settings\Tomek\Dane aplikacji\Mozilla\Firefox\Profiles\8zxyign3.default\FF - prefs.js: browser.startup.homepage - google.plFF - plugin: e:\mozilla firefox\plugins\npganymedenet.dllFF - plugin: e:\mozilla firefox\plugins\NPMyGlSh.dll.**************************************************************************catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-12-18 15:18:37Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(760)c:\windows\system32\Ati2evxx.dll.Czas ukończenia: 2008-12-18 15:19:06ComboFix-quarantined-files.txt 2008-12-18 14:18:51ComboFix2.txt 2008-12-18 13:41:37ComboFix3.txt 2008-12-17 17:57:16ComboFix4.txt 2008-12-17 17:52:02Przed: 11 512 123 392 bajtów wolnychPo: 11,500,519,424 bajtów wolnych149 --- E O F --- 2008-12-18 14:00:19
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.