Witam. Zauważyłem, że mam trochę syfu na kompie mimo formatu kompa pół godziny temu. Eset Small Security troszkę wyczyścił, ale część została, np. gvjlpyc.exe. Oto logi:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Przed chwilą "A" próbowało mi Adobe Flash Playera zainstalować.
Diagnostyczne logi
-
djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
Diagnostyczne logi
2009-08-12 09:59 90,060 a------- c:\windows\system32\drivers\7122fa37.sys
To jest raczej Rootkit, a OTL i inne programy nie dają sobie rady.
Daj log z ComboFixa.
=========
K.
-
CorrupteDeK
- Posty: 11
- Rejestracja: 06 cze 2009, 18:40
Re: Diagnostyczne logi
Kod: Zaznacz cały
ComboFix 09-08-10.06 - Wieśko 2009-08-12 10:44.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.767.556 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Wieśko\Pulpit\ComboFix.exe
AV: ESET Smart Security 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Zapora osobista *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
* Rezydentny antywirus jest aktywny
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\recycler\S-1-5-21-5628153693-3410030356-119147110-7248
c:\windows\msa.exe
c:\windows\system32\drivers\hjgruiqjbabwwx.sys
c:\windows\system32\hjgruibltoqxqo.dat
c:\windows\system32\hjgruillovnmsb.dat
c:\windows\system32\hjgruipxxrmeec.dll
c:\windows\system32\hjgruiwhopphxl.dll
c:\windows\system32\msxml71.dll
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_hjgruicmydktuw
-------\Legacy_hjgruicmydktuw
((((((((((((((((((((((((( Pliki utworzone od 2009-07-12 do 2009-08-12 )))))))))))))))))))))))))))))))
.
2009-08-12 08:00 . 2009-08-12 06:57 152064 ----a-w- c:\windows\msb.exe
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-12 08:22 . 2009-08-12 06:55 0 ----a-w- c:\windows\system32\drivers\7122fa37.sys
2009-08-12 08:08 . 2009-08-12 06:31 -------- d-----w- c:\program files\Common Files\Microsoft Update Engine
2009-08-12 07:24 . 2009-08-12 07:24 -------- d-----w- c:\program files\ESET
2009-08-12 07:24 . 2009-08-12 07:24 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ESET
2009-08-12 07:17 . 2009-08-12 07:17 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-12 06:54 . 2009-08-12 06:54 -------- d-sh--w- c:\program files\Common Files\Microsoft Services
2009-08-12 06:43 . 2009-08-12 06:26 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-08-12 06:42 . 2009-08-12 06:42 472576 ----a-w- c:\windows\Radeon Omega Drivers v4.8.442 Uninstall.exe
2009-08-12 06:42 . 2009-08-12 06:42 -------- d-----w- c:\program files\Radeon Omega Drivers
2009-08-12 06:38 . 2009-08-12 06:38 -------- d-----w- c:\program files\Realtek Sound Manager
2009-08-12 06:38 . 2009-08-12 06:38 -------- d-----w- c:\program files\AvRack
2009-08-12 06:38 . 2009-08-12 06:38 -------- d-----w- c:\program files\Intel
2009-08-12 06:35 . 2009-08-12 06:26 -------- d-----w- c:\program files\Common Files\InstallShield
2009-08-12 06:34 . 2009-08-12 06:34 0 ----a-w- c:\windows\nsreg.dat
2009-08-12 06:32 . 2009-08-12 06:32 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-12 06:32 . 2009-08-12 06:32 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ashampoo
2009-08-12 06:32 . 2009-08-12 06:32 -------- d-----w- c:\program files\Ashampoo
2009-08-12 06:26 . 2009-08-12 06:26 -------- d-----w- c:\program files\WLAN
2009-08-12 06:24 . 2001-10-26 16:15 49492 ----a-w- c:\windows\system32\perfc015.dat
2009-08-12 06:24 . 2001-10-26 16:15 355486 ----a-w- c:\windows\system32\perfh015.dat
2009-08-12 06:19 . 2009-08-12 06:19 -------- d-----w- c:\program files\microsoft frontpage
2009-08-12 06:18 . 2009-08-12 06:18 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-08-12 06:17 . 2009-08-12 06:17 -------- d-----w- c:\program files\Usługi online
2009-08-12 06:15 . 2009-08-12 06:15 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2009-05-14 13:49 . 2009-05-14 13:49 55768 ----a-w- c:\windows\system32\drivers\epfwtdi.sys
2009-05-14 13:49 . 2009-05-14 13:49 33096 ----a-w- c:\windows\system32\drivers\epfwndis.sys
2009-05-14 13:49 . 2009-05-14 13:49 133000 ----a-w- c:\windows\system32\drivers\epfw.sys
2009-05-14 13:47 . 2009-05-14 13:47 107256 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2009-05-14 13:41 . 2009-05-14 13:41 114472 ----a-w- c:\windows\system32\drivers\eamon.sys
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-05-14 2029640]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-08-15 57344]
"AtiPTA"="atiptaxx.exe" - c:\windows\system32\atiptaxx.exe [2006-02-22 344064]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
WConfig.lnk - c:\program files\WLAN\WConfig\WConfig.exe [2009-8-12 385024]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
R1 atitray;atitray;c:\program files\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys [2009-08-12 17952]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-05-14 107256]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2009-05-14 731840]
R3 RT2400PCI;802.11b WLAN PCI;c:\windows\system32\drivers\RT2400.sys [2009-08-12 61056]
S1 7122fa37;7122fa37;c:\windows\system32\drivers\7122fa37.sys [2009-08-12 0]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components]
\
.
Zawartość folderu 'Zaplanowane zadania'
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKCU-Explorer_Run-settings - c:\windows\system32\nthost32.exe
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://google.pl/
uInternet Connection Wizard,ShellNext = hxxp://google.pl/
FF - ProfilePath - c:\documents and settings\Wieśko\Dane aplikacji\Mozilla\Firefox\Profiles\wedhaw2g.default\
---- FIREFOX - SPOSÓB POSTĘPOWANIA ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-12 10:47
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(612)
c:\windows\system32\Ati2evxx.dll
.
Czas ukończenia: 2009-08-12 10:48
ComboFix-quarantined-files.txt 2009-08-12 08:48
Przed: 7 206 047 744 bajtów wolnych
Po: 7 254 986 752 bajtów wolnych
164
-
djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
Diagnostyczne logi
Tu nie ma jednej odmiany Rootkita, są dwie, ComboFix jednął usunął, została druga którą widział OTL.
Wklej do Notatnika:
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
================
K.
Wklej do Notatnika:
Kod: Zaznacz cały
File::
c:\windows\system32\drivers\7122fa37.sys
c:\windows\msb.exe
Driver::
7122fa37
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
================
K.
-
CorrupteDeK
- Posty: 11
- Rejestracja: 06 cze 2009, 18:40
Re: Diagnostyczne logi
Kod: Zaznacz cały
ComboFix 09-08-10.06 - Wieśko 2009-08-12 14:03.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.767.468 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Wieśko\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Wieśko\Pulpit\CFScript.txt
AV: ESET Smart Security 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Zapora osobista *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
* Rezydentny antywirus jest aktywny
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
FILE ::
"c:\windows\msb.exe"
"c:\windows\system32\drivers\7122fa37.sys"
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\msb.exe
c:\windows\system32\drivers\7122fa37.sys
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_7122fa37
((((((((((((((((((((((((( Pliki utworzone od 2009-07-12 do 2009-08-12 )))))))))))))))))))))))))))))))
.
2009-08-12 10:56 . 2009-08-12 10:56 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab
2009-08-12 10:10 . 2009-08-12 10:12 -------- d-----w- c:\program files\Unlocker
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-12 08:08 . 2009-08-12 06:31 -------- d-----w- c:\program files\Common Files\Microsoft Update Engine
2009-08-12 07:24 . 2009-08-12 07:24 -------- d-----w- c:\program files\ESET
2009-08-12 07:24 . 2009-08-12 07:24 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ESET
2009-08-12 07:17 . 2009-08-12 07:17 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-12 06:54 . 2009-08-12 06:54 -------- d-sh--w- c:\program files\Common Files\Microsoft Services
2009-08-12 06:43 . 2009-08-12 06:26 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-08-12 06:42 . 2009-08-12 06:42 472576 ----a-w- c:\windows\Radeon Omega Drivers v4.8.442 Uninstall.exe
2009-08-12 06:42 . 2009-08-12 06:42 -------- d-----w- c:\program files\Radeon Omega Drivers
2009-08-12 06:38 . 2009-08-12 06:38 -------- d-----w- c:\program files\Realtek Sound Manager
2009-08-12 06:38 . 2009-08-12 06:38 -------- d-----w- c:\program files\AvRack
2009-08-12 06:38 . 2009-08-12 06:38 -------- d-----w- c:\program files\Intel
2009-08-12 06:35 . 2009-08-12 06:26 -------- d-----w- c:\program files\Common Files\InstallShield
2009-08-12 06:34 . 2009-08-12 06:34 0 ----a-w- c:\windows\nsreg.dat
2009-08-12 06:32 . 2009-08-12 06:32 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-12 06:32 . 2009-08-12 06:32 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ashampoo
2009-08-12 06:26 . 2009-08-12 06:26 -------- d-----w- c:\program files\WLAN
2009-08-12 06:24 . 2001-10-26 16:15 49492 ----a-w- c:\windows\system32\perfc015.dat
2009-08-12 06:24 . 2001-10-26 16:15 355486 ----a-w- c:\windows\system32\perfh015.dat
2009-08-12 06:19 . 2009-08-12 06:19 -------- d-----w- c:\program files\microsoft frontpage
2009-08-12 06:18 . 2009-08-12 06:18 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-08-12 06:17 . 2009-08-12 06:17 -------- d-----w- c:\program files\Usługi online
2009-08-12 06:15 . 2009-08-12 06:15 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2009-05-14 13:49 . 2009-05-14 13:49 55768 ----a-w- c:\windows\system32\drivers\epfwtdi.sys
2009-05-14 13:49 . 2009-05-14 13:49 33096 ----a-w- c:\windows\system32\drivers\epfwndis.sys
2009-05-14 13:49 . 2009-05-14 13:49 133000 ----a-w- c:\windows\system32\drivers\epfw.sys
2009-05-14 13:47 . 2009-05-14 13:47 107256 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2009-05-14 13:41 . 2009-05-14 13:41 114472 ----a-w- c:\windows\system32\drivers\eamon.sys
.
((((((((((((((((((((((((((((( SnapShot@2009-08-12_08.47.31 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-16 12:09 . 2008-10-16 12:09 43544 c:\windows\system32\wups2.dll
+ 2009-08-12 06:16 . 2008-10-16 12:08 34328 c:\windows\system32\wups.dll
+ 2009-08-12 06:16 . 2008-10-16 12:09 51224 c:\windows\system32\wuauclt.exe
+ 2009-08-12 09:54 . 2008-10-16 12:08 34328 c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll
+ 2009-08-12 06:16 . 2008-10-16 12:08 34328 c:\windows\system32\dllcache\wups.dll
+ 2009-08-12 06:16 . 2008-10-16 12:09 51224 c:\windows\system32\dllcache\wuauclt.exe
+ 2008-04-14 20:50 . 2008-10-16 12:09 92696 c:\windows\system32\dllcache\cdm.dll
+ 2008-04-14 20:50 . 2008-10-16 12:09 92696 c:\windows\system32\cdm.dll
+ 2009-08-12 12:06 . 2009-08-12 12:06 8192 c:\windows\ERDNT\subs\Users\00000004\UsrClass.dat
+ 2009-08-12 12:06 . 2009-08-12 12:06 8192 c:\windows\ERDNT\subs\Users\00000002\UsrClass.dat
+ 2009-08-12 06:16 . 2008-10-16 12:13 202776 c:\windows\system32\wuweb.dll
+ 2009-08-12 06:16 . 2008-10-16 12:12 323608 c:\windows\system32\wucltui.dll
+ 2009-08-12 06:16 . 2008-10-16 12:12 561688 c:\windows\system32\wuapi.dll
+ 2009-08-12 06:16 . 2008-10-16 12:13 202776 c:\windows\system32\dllcache\wuweb.dll
+ 2009-08-12 06:16 . 2008-10-16 12:12 323608 c:\windows\system32\dllcache\wucltui.dll
+ 2009-08-12 06:16 . 2008-10-16 12:12 561688 c:\windows\system32\dllcache\wuapi.dll
+ 2009-08-12 12:06 . 2009-08-12 12:06 172032 c:\windows\ERDNT\subs\Users\00000006\UsrClass.dat
+ 2009-08-12 12:06 . 2009-08-12 12:06 823296 c:\windows\ERDNT\subs\Users\00000005\NTUSER.DAT
+ 2009-08-12 12:06 . 2009-08-12 12:06 245760 c:\windows\ERDNT\subs\Users\00000003\NTUSER.DAT
+ 2009-08-12 12:06 . 2009-08-12 12:06 241664 c:\windows\ERDNT\subs\Users\00000001\NTUSER.DAT
+ 2009-08-12 06:16 . 2008-10-16 12:13 1809944 c:\windows\system32\wuaueng.dll
+ 2009-08-12 06:16 . 2008-10-16 12:13 1809944 c:\windows\system32\dllcache\wuaueng.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-05-14 2029640]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-08-15 57344]
"AtiPTA"="atiptaxx.exe" - c:\windows\system32\atiptaxx.exe [2006-02-22 344064]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
WConfig.lnk - c:\program files\WLAN\WConfig\WConfig.exe [2009-8-12 385024]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
R1 atitray;atitray;c:\program files\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys [2009-08-12 17952]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-05-14 107256]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2009-05-14 731840]
R3 RT2400PCI;802.11b WLAN PCI;c:\windows\system32\drivers\RT2400.sys [2009-08-12 61056]
--- Inne Usługi/Sterowniki w Pamięci ---
*NewlyCreated* - BITS
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components]
\
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://google.pl/
uInternet Connection Wizard,ShellNext = hxxp://google.pl/
FF - ProfilePath - c:\documents and settings\Wieśko\Dane aplikacji\Mozilla\Firefox\Profiles\l8hfd476.Wiesko\
---- FIREFOX - SPOSÓB POSTĘPOWANIA ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-12 14:07
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(620)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
.
**************************************************************************
.
Czas ukończenia: 2009-08-12 14:08 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-08-12 12:08
ComboFix2.txt 2009-08-12 08:48
Przed: 7 458 107 392 bajtów wolnych
Po: 7 388 954 624 bajtów wolnych
190
-
djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
Diagnostyczne logi
Log wygląda na czysty.
1. Odpal OTL i wywołaj go z opcji CleanUp, zgódź się na czyszczenie + restart komputera.
2. Scan tym: http://www.hotfix.pl/articles.php?article_id=55
=======
K.
1. Odpal OTL i wywołaj go z opcji CleanUp, zgódź się na czyszczenie + restart komputera.
2. Scan tym: http://www.hotfix.pl/articles.php?article_id=55
=======
K.
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości
