manugino utworzono 25 marca 2009 utworzono 25 marca 2009 ComboFix 09-03-23.01 - Kasiula 2009-03-25 23:36:31.7 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.503.229 [GMT 1:00] Uruchomiony z: c:\documents and settings\Kasiula\Pulpit\ComboFix.exe AV: avast! antivirus 4.8.1335 [VPS 090325-0] *On-access scanning disabled* (Updated) * Utworzono nowy punkt przywracania . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf C:\em8tqm.cmd C:\jm3cx96.bat C:\kmd.exe c:\program files\Mozilla Firefox\plugins\NPMyGlSh.dll c:\program files\myglobalsearch c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST c:\program files\myglobalsearch\bar\1.bin\M9PLUGIN.DLL c:\program files\myglobalsearch\bar\1.bin\MGSBAR.DLL c:\program files\myglobalsearch\bar\1.bin\NPMYGLSH.DLL c:\program files\myglobalsearch\bar\Cache\000B95C2 c:\program files\myglobalsearch\bar\Cache\001954CD.bin c:\program files\myglobalsearch\bar\Cache\0019570F.bin c:\program files\myglobalsearch\bar\Cache\00195951.bin c:\program files\myglobalsearch\bar\Cache\files.ini c:\program files\myglobalsearch\bar\History\search c:\program files\myglobalsearch\bar\Settings\prevcfg.htm c:\windows\system32\nmdfgds1.dll c:\windows\system32\olhrwef.exe D:\Autorun.inf D:\em8tqm.cmd D:\jm3cx96.bat E:\Autorun.inf E:\em8tqm.cmd E:\jm3cx96.bat . ((((((((((((((((((((((((( Pliki utworzone od 2009-02-25 do 2009-03-25 ))))))))))))))))))))))))))))))) . 2009-03-25 23:33 . 2009-03-25 23:33 <DIR> d-------- C:\32788R22FWJFW.0.tmp 2009-03-25 23:33 . 2009-03-25 23:20 100,864 --------- c:\windows\system32\trz48.tmp 2009-03-02 19:06 . 2009-03-02 19:26 <DIR> d-------- c:\program files\PhotoScape . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2060-08-18 17:02 1,496,064 ------w c:\windows\system32\CC3250MT.DLL 2060-08-18 16:40 909,824 ------w c:\windows\system32\cp3245mt.dll 2060-08-18 16:40 24,064 ------w c:\windows\system32\borlndmm.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "EPSON Stylus DX4400 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736] "Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\System32\igfxtray.exe" [2006-08-14 98304] "HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2006-08-14 114688] "Persistence"="c:\windows\System32\igfxpers.exe" [2006-08-14 94208] "HControl"="c:\windows\ATK0100\HControl.exe" [2006-10-14 110592] "IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-10-18 802816] "IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-10-18 696320] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816] "Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2005-10-17 987136] "RTHDCPL"="RTHDCPL.EXE" [2006-10-30 c:\windows\RTHDCPL.EXE] "SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2008-08-03 950272] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:102e13447 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-03 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-03 20560] R3 SynMini;ASUS WebCam, 1.3M, USB2.0, FF;c:\windows\system32\drivers\SynMini.sys [2007-11-02 841110] R3 SynScan;ASUS WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [2007-11-02 8278] S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [2008-08-03 450560] S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bc6de12-a1a3-11dc-a918-0019d28e4e1a}] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{49da6b74-cc1a-11dd-ab13-0019d28e4e1a}] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90217344-8975-11dc-a8e3-0019d28e4e1a}] \Shell\AutoRun\command - H:\jm3cx96.bat \Shell\open\Command - H:\jm3cx96.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e991828e-8ad8-11dc-a8e6-0019d28e4e1a}] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe \Shell\Open(&0)\command - Recycled\ctfmon.exe . - - - - USUNIĘTO PUSTE WPISY - - - - HKCU-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe HKLM-Run-BearShare - c:\program files\BearShare\BearShare.exe HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe . ------- Skan uzupełniający ------- . uDefault_Search_URL = hxxp://www.google.com/ie uStart Page = hxxp://search.bearshare.com/pl/ uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\Kasiula\Dane aplikacji\Mozilla\Firefox\Profiles\sk826olf.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.pajacyk.pl/ FF - component: c:\documents and settings\Kasiula\Dane aplikacji\Mozilla\Firefox\Profiles\sk826olf.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-25 23:38:02 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . Czas ukończenia: 2009-03-25 23:39:26 ComboFix-quarantined-files.txt 2009-03-25 22:39:07 ComboFix2.txt 2008-02-23 22:50:05 Przed: 9 398 890 496 bajtów wolnych Po: 10,211,155,968 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn 141 --- E O F --- 2008-12-27 12:47:59
Gość komentarz 26 marca 2009 komentarz 26 marca 2009 Wklej do Notatnika: File::c:\windows\system32\trz48.tmpRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe --> Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania. Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox. .
manugino komentarz 26 marca 2009 Autor komentarz 26 marca 2009 ComboFix 09-03-25.04 - Kasiula 2009-03-26 16:50:26.8 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.503.62 [GMT 1:00] Uruchomiony z: c:\documents and settings\Kasiula\Pulpit\ComboFix.exe Użyto następujących komend :: c:\documents and settings\Kasiula\Pulpit\CFScript.txt AV: avast! antivirus 4.8.1335 [VPS 090325-0] *On-access scanning disabled* (Updated) * Utworzono nowy punkt przywracania FILE :: c:\windows\system32\trz48.tmp . ((((((((((((((((((((((((( Pliki utworzone od 2009-02-26 do 2009-03-26 ))))))))))))))))))))))))))))))) . 2009-03-25 23:33 . 2009-03-25 23:33 <DIR> d-------- C:\32788R22FWJFW.0.tmp 2009-03-02 19:06 . 2009-03-02 19:26 <DIR> d-------- c:\program files\PhotoScape . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2060-08-18 17:02 1,496,064 ------w c:\windows\system32\CC3250MT.DLL 2060-08-18 16:40 909,824 ------w c:\windows\system32\cp3245mt.dll 2060-08-18 16:40 24,064 ------w c:\windows\system32\borlndmm.dll . ((((((((((((((((((((((((((((( SnapShot@2009-03-25_23.38.22,59 ))))))))))))))))))))))))))))))))))))))))) . + 2009-03-26 15:42:41 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_63c.dat . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "EPSON Stylus DX4400 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736] "Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\System32\igfxtray.exe" [2006-08-14 98304] "HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2006-08-14 114688] "Persistence"="c:\windows\System32\igfxpers.exe" [2006-08-14 94208] "HControl"="c:\windows\ATK0100\HControl.exe" [2006-10-14 110592] "IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-10-18 802816] "IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-10-18 696320] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816] "Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2005-10-17 987136] "RTHDCPL"="RTHDCPL.EXE" [2006-10-30 c:\windows\RTHDCPL.EXE] "SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2008-08-03 950272] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-03 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-03 20560] R3 SynMini;ASUS WebCam, 1.3M, USB2.0, FF;c:\windows\system32\drivers\SynMini.sys [2007-11-02 841110] R3 SynScan;ASUS WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [2007-11-02 8278] S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [2008-08-03 450560] S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?] . . ------- Skan uzupełniający ------- . uDefault_Search_URL = hxxp://www.google.com/ie uStart Page = hxxp://search.bearshare.com/pl/ uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\Kasiula\Dane aplikacji\Mozilla\Firefox\Profiles\sk826olf.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.pajacyk.pl/ FF - component: c:\documents and settings\Kasiula\Dane aplikacji\Mozilla\Firefox\Profiles\sk826olf.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-26 16:52:07 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . Czas ukończenia: 2009-03-26 16:53:25 ComboFix-quarantined-files.txt 2009-03-26 15:53:14 ComboFix2.txt 2009-03-25 22:39:27 ComboFix3.txt 2008-02-23 22:50:05 Przed: 10 200 457 216 bajtów wolnych Po: 10,187,317,248 bajtów wolnych 93 --- E O F --- 2008-12-27 12:47:59
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.