Prosze o sprawdzenie loga i pomoc jeżel ktoś ma czas.
Bardzo proszę o analizę loga z Hijackthis - help
Prosze o sprawdzenie loga - wolny net
Prosze o sprawdzenie Loga!!! Napewno Keylogger!!!
Reklamiarz, trojan?? Proszę o sprawdzenie loga...
Prosze o sprawdzenie loga i instrukcje co dalej...
prosze o sprawdzenie loga HijackThis i ComboFix
prosze o sprawdzenie loga, z gory dzieki
proszę o sprawdzenie loga, możliwy keylogger
Prosze o sprawdzenie loga z HiJackThis
chomiki
Ostatnio komp sie całkiem przestał włączać, sformatowałem c i wrrzuciłem xp, drugi dysk zostawiłem nietknięty, potem dorzuciłem avasta i po scanie który wykrył dużo syfu komp ledwo co sie uruchamia, nie chce formatować drugiego dysku bo mam ważne rzeczy, da sie coś zrobić?Mógłbyś podać jakiś raport ze skanu avastem lub chociaż nazwy wirusów, które wykrył??? Bo te objawy mogą wskazywać na infekcję plików wykonywalnych.
Jest tu syf z pamięci przenośnej widocznej pod literką F i G. Podłącz tą pamięć (lub pamięci) na czas usuwania.
Uruchom OTL w oknie Custom Scans/Fixes wklej:
:OTL
PRC - [2010-02-25 15:15:47 | 000,035,328 | ---- | M] (dchofl poj) -- c:\WINDOWS\Temp\a.exe
PRC - [2010-02-25 15:15:22 | 000,019,968 | ---- | M] (TWX Corp.) -- C:\Documents and Settings\Jazz\Ustawienia lokalne\Temp\382.exe
PRC - [2010-02-24 15:24:25 | 000,037,376 | ---- | M] () -- C:\Documents and Settings\Jazz\Ustawienia lokalne\Temp\rjvjlsvw.exe
PRC - [2010-02-24 15:24:25 | 000,037,376 | ---- | M] () -- c:\lsass.exe
PRC - [2008-04-15 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
SRV - [2010-02-24 15:24:24 | 000,047,104 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\mssrv32.exe -- (msupdate)
O4 - HKLM..\Run: [14739] C:\Documents and Settings\Jazz\Ustawienia lokalne\Temp\rjvjlsvw.exe ()
O20 - HKLM Winlogon: Shell - (rundll32.exe) - File not found
O20 - HKLM Winlogon: Shell - (helper.dll) - File not found
O20 - HKLM Winlogon: Shell - (run05-1417001333-1003) - File not found
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-0145850905-5048810369-697956310-5518\wnzip32.exe) - C:\RECYCLER\S-1-5-21-0145850905-5048810369-697956310-5518\wnzip32.exe ()
O32 - AutoRun File - [2010-02-22 19:33:57 | 000,000,051 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-02-22 19:33:57 | 000,000,051 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{a71d1d6a-1fdb-11df-91f8-001b9ee34d94}\Shell\AutoRun\command - "" = F:\RECYCLER\autorun.exe -- File not found
O33 - MountPoints2\{a71d1d6a-1fdb-11df-91f8-001b9ee34d94}\Shell\open\command - "" = F:\RECYCLER\autorun.exe -- File not found
O33 - MountPoints2\{a71d1d6b-1fdb-11df-91f8-001b9ee34d94}\Shell\AutoRun\command - "" = G:\RECYCLER\autorun.exe -- File not found
O33 - MountPoints2\{a71d1d6b-1fdb-11df-91f8-001b9ee34d94}\Shell\open\command - "" = G:\RECYCLER\autorun.exe -- File not found
:Files
C:\WINDOWS\Temp
C:\Documents and Settings\Jazz\Ustawienia lokalne\Temp
C:\lsass.exe
C:\WINDOWS\system32\mssrv32.exe
C:\RECYCLER
D:\RECYCLER
F:\RECYCLER
G:\RECYCLER
C:\WINDOWS\System32\uktopdaz.exe
G:\autorun.inf
F:\autorun.inf
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
:Commands
[emptytemp]
[reboot]
Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Dodatkowo (najlepiej także z podłączonymi pamięciami) wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik Zapisz Listę Raportu)
Obecnie przy włączaniu pokazuje sie ostrzeżenie o braku pliku rundll a potem o problemach z helper.dll, próbowałem odpalić otl'a z włączoną pamięcią ale kompletnie sie wszystko zawiesiło, w miarę normalnie chodzi tryb awaryjny, włączyć w nim ten Dr. Web Cureit czy wcześniej zrobić coś innego? Mogę zrobić format c i nowego windowsa tylko sie boję że syf jest na drugiej partycji której nie chce kasować.
Na razie przeskanuj Dr.Web CureIt i podaj z niego raport, żebyśmy wiedzieli z czym mamy do czynienia w ogóle.
Zrobiłem skan, ale na razie mi sieć odłączyli, pamięci przenośne nie dizałają w awaryjnym a zwykły tryb praktycznie nie działa, sprubuję przepisać raport i wrzucę z innego kompa (tylko raport długi to i może trochę potrwać).
[ Dodano: 2010-02-27, 19:30 ]
No dobra, w takim razie wykonaj teraz operację z OTL i podaj logi.
W załączeniu log z naprawy i zwykły
No nie ciekawie dalej to wygląda, użyj Combofix i daj log z niego.
Gotowe
ComboFix 10-02-25.02 - Administrator 2010-03-01 9:09.1.1 - x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.1014.854 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Administrator\Dane aplikacji\avdrn.dat
c:\documents and settings\Administrator\Dane aplikacji\wiaservg.log
c:\windows\system32\ieuinit.inf
Zainfekowana kopia c:\windows\system32\drivers\ndis.sys została znaleziona. Problem naprawiono
Plik odzyskano z - c:\system volume information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3\A0001369.sys
.
((((((((((((((((((((((((( Pliki utworzone od 2010-02-01 do 2010-03-01 )))))))))))))))))))))))))))))))
.
2010-02-26 20:14 . 2010-02-26 20:15 -------- d-----w- c:\documents and settings\Administrator\DoctorWeb
2010-02-26 14:59 . 2010-02-26 14:59 -------- d-----w- C:\_OTL
2010-02-25 14:39 . 2010-02-25 14:39 148 ----a-w- c:\windows\system32\fjhdyfhsn.bat
2010-02-25 14:15 . 2010-02-26 14:58 35328 ----a-w- c:\windows\system32\qqamevnx.exe
2010-02-24 16:01 . 2001-10-26 15:57 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2010-02-24 16:01 . 2001-10-26 15:57 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-02-24 16:01 . 2008-04-13 23:15 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2010-02-24 16:01 . 2008-04-13 23:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2010-02-24 14:25 . 2008-04-13 23:10 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-02-24 14:25 . 2008-04-13 23:10 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-02-24 14:25 . 2008-04-13 23:11 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-02-24 14:25 . 2008-04-13 23:11 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-02-24 14:25 . 2008-04-13 23:11 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-02-24 14:25 . 2008-04-13 23:11 8192 ----a-w- c:\windows\system32\drivers\Changer.sys
2010-02-24 14:23 . 2010-02-22 17:28 180224 ----a-w- c:\windows\system32\igfxres.dll
2010-02-22 18:29 . 2008-04-13 23:15 6272 -c--a-w- c:\windows\system32\dllcache\splitter.sys
2010-02-22 18:29 . 2008-04-13 23:15 6272 ----a-w- c:\windows\system32\drivers\splitter.sys
2010-02-22 18:18 . 2010-02-22 18:18 -------- d-----w- c:\windows\system32\Lang
2010-02-22 18:18 . 2010-02-22 18:18 -------- d-----w- c:\windows\system32\x64
2010-02-22 18:18 . 2010-02-22 17:28 399896 ----a-w- c:\windows\system32\igxpun.exe
2010-02-22 18:17 . 2010-02-22 18:17 -------- dc----w- c:\windows\system32\DRVSTORE
2010-02-22 18:17 . 2010-02-22 17:28 319456 ----a-w- c:\windows\system32\difxapi.dll
2010-02-22 18:07 . 2008-04-14 22:50 54784 ----a-w- c:\windows\system32\vfwwdm32.dll
2010-02-22 18:07 . 2008-04-14 21:50 4096 -c--a-w- c:\windows\system32\dllcache\ksuser.dll
2010-02-22 18:07 . 2008-04-14 21:50 4096 ----a-w- c:\windows\system32\ksuser.dll
2010-02-22 18:07 . 2008-04-14 00:16 121984 ----a-w- c:\windows\system32\drivers\usbvideo.sys
2010-02-22 18:07 . 2008-04-14 21:35 58880 ----a-w- c:\windows\system32\drivers\redbook.sys
2010-02-22 18:07 . 2008-04-14 21:25 23296 ----a-w- c:\windows\system32\drivers\mouclass.sys
2010-02-22 18:07 . 2008-04-14 22:50 77312 ----a-w- c:\windows\system32\usbui.dll
2010-02-22 18:06 . 2008-04-14 00:06 10240 ----a-w- c:\windows\system32\drivers\compbatt.sys
2010-02-22 18:06 . 2008-04-14 00:06 14208 ----a-w- c:\windows\system32\drivers\battc.sys
2010-02-22 18:06 . 2008-04-14 00:06 13952 ----a-w- c:\windows\system32\drivers\cmbatt.sys
2010-02-22 18:04 . 2010-03-01 08:13 -------- d-----w- c:\windows\system32\CatRoot2
2010-02-22 18:04 . 2010-02-22 18:04 -------- d-----w- c:\windows\system32\CatRoot
2010-02-22 18:04 . 2010-02-22 18:05 -------- d--h--r- c:\documents and settings\Default User\Dane aplikacji
2010-02-22 18:04 . 2010-02-22 17:58 -------- d--h--r- c:\documents and settings\All Users\Dane aplikacji
2010-02-22 18:04 . 2010-03-01 08:08 -------- d--h--w- c:\documents and settings\Default User
2010-02-22 18:04 . 2010-02-25 14:37 -------- d-----w- C:\Documents and Settings
2010-02-22 18:04 . 2010-02-22 17:16 -------- d-----w- c:\documents and settings\All Users
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-26 14:58 . 2010-02-25 14:15 35328 ----a-w- c:\windows\system32\borpcrec.exe
2010-02-25 14:39 . 2010-02-25 14:39 12 ----a-w- c:\documents and settings\NetworkService\Dane aplikacji\pdytbs.dat
2010-02-24 14:20 . 2010-02-22 17:16 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-02-22 17:58 . 2010-02-22 17:58 -------- d-----w- c:\program files\Alwil Software
2010-02-22 17:58 . 2010-02-22 17:58 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Alwil Software
2010-02-22 17:31 . 2007-12-26 10:20 288000 ----a-w- c:\windows\system32\drivers\RTL8187B.sys
2010-02-22 17:29 . 2007-11-20 18:15 1826816 ----a-w- c:\windows\SkyTel.exe
2010-02-22 17:29 . 2006-07-21 16:14 86016 ----a-w- c:\windows\SOUNDMAN.EXE
2010-02-22 17:29 . 2007-11-07 17:31 1191936 ----a-w- c:\windows\RtlUpd.exe
2010-02-22 17:29 . 2007-03-23 19:19 9715200 ----a-w- c:\windows\RTLCPL.EXE
2010-02-22 17:29 . 2008-01-30 11:28 4725760 ----a-w- c:\windows\system32\drivers\rtkhdaud.sys
2010-02-22 17:29 . 2008-01-29 15:47 16859648 ----a-w- c:\windows\RTHDCPL.EXE
2010-02-22 17:29 . 2007-06-28 16:44 2165760 ----a-w- c:\windows\MicCal.exe
2010-02-22 17:29 . 2006-05-04 16:26 2808832 ----a-w- c:\windows\ALCWZRD.EXE
2010-02-22 17:29 . 2005-05-03 18:43 69632 ----a-w- c:\windows\ALCMTR.EXE
2010-02-22 17:29 . 2008-01-03 22:10 105856 ----a-w- c:\windows\system32\drivers\Rtenicxp.sys
2010-02-22 17:23 . 2008-04-15 12:00 49910 ----a-w- c:\windows\system32\perfc015.dat
2010-02-22 17:23 . 2008-04-15 12:00 356068 ----a-w- c:\windows\system32\perfh015.dat
2010-02-22 17:17 . 2010-02-22 17:17 -------- d-----w- c:\program files\microsoft frontpage
2010-02-22 17:15 . 2010-02-22 17:15 -------- d-----w- c:\program files\Usługi online
2010-02-22 17:13 . 2010-02-22 17:13 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2010-02-11 18:53 . 2010-02-22 17:58 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-02-11 18:53 . 2010-02-22 17:58 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-02-11 18:42 . 2010-02-22 17:58 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-02-11 18:42 . 2010-02-22 17:58 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-02-11 18:39 . 2010-02-22 17:58 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-02-11 18:38 . 2010-02-22 17:58 100432 ----a-w- c:\windows\system32\drivers\aswMon2.sys
2010-02-11 18:38 . 2010-02-22 17:58 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-02-11 18:38 . 2010-02-22 17:58 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-02-11 18:38 . 2010-02-22 17:58 28880 ----a-w- c:\windows\system32\drivers\Aavmker4.sys
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-02-22 162512]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-02-22 19024]
R3 RTL8187B;Realtek RTL8187B bezprzewodowe 802.11b/g 54Mbps USB 2.0 karta sieciowa ;c:\windows\system32\drivers\RTL8187B.sys [2007-12-26 288000]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKLM-Run-autoruns - c:\windows\system32\jxontyve.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-01 09:14
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\lghropli.exe
c:\windows\system32\wscntfy.exe
c:\program files\Alwil Software\Avast5\defs\10022401\Sf.bin
.
**************************************************************************
.
Czas ukończenia: 2010-03-01 09:15:33 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2010-03-01 08:15
Przed: 48 074 268 672 bajtów wolnych
Po: 48 041 144 320 bajtów wolnych
- - End Of File - - 7C52C4CDB19B93CF0A6BFB83BE97929B
Wklej do notatnika:
File::
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\qqamevnx.exe
c:\windows\system32\borpcrec.exe
c:\windows\system32\dllcache\lbrtfdc.sys
c:\windows\system32\drivers\lbrtfdc.sys
c:\windows\system32\dllcache\i2omgmt.sys
c:\windows\system32\drivers\i2omgmt.sys
c:\windows\system32\dllcache\changer.sys
c:\windows\system32\drivers\Changer.sys
c:\documents and settings\NetworkService\Dane aplikacji\pdytbs.dat
Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
ComboFix 10-02-25.02 - Administrator 2010-03-01 20:09:35.2.1 - x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.1014.860 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Administrator\Pulpit\CFScript.txt
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FILE ::
"c:\documents and settings\NetworkService\Dane aplikacji\pdytbs.dat"
"c:\windows\system32\borpcrec.exe"
"c:\windows\system32\dllcache\changer.sys"
"c:\windows\system32\dllcache\i2omgmt.sys"
"c:\windows\system32\dllcache\lbrtfdc.sys"
"c:\windows\system32\drivers\Changer.sys"
"c:\windows\system32\drivers\i2omgmt.sys"
"c:\windows\system32\drivers\lbrtfdc.sys"
"c:\windows\system32\fjhdyfhsn.bat"
"c:\windows\system32\qqamevnx.exe"
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\NetworkService\Dane aplikacji\pdytbs.dat
c:\windows\system32\dllcache\changer.sys
c:\windows\system32\dllcache\i2omgmt.sys
c:\windows\system32\dllcache\lbrtfdc.sys
c:\windows\system32\drivers\Changer.sys
c:\windows\system32\drivers\i2omgmt.sys
c:\windows\system32\drivers\lbrtfdc.sys
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\qqamevnx.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2010-02-01 do 2010-03-01 )))))))))))))))))))))))))))))))
.
2010-02-26 20:14 . 2010-02-26 20:15 -------- d-----w- c:\documents and settings\Administrator\DoctorWeb
2010-02-26 14:59 . 2010-02-26 14:59 -------- d-----w- C:\_OTL
2010-02-25 14:15 . 2010-02-26 14:58 35328 ----a-w- c:\windows\system32\cwcpjgps.exe
2010-02-24 16:01 . 2001-10-26 15:57 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2010-02-24 16:01 . 2001-10-26 15:57 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-02-24 16:01 . 2008-04-13 23:15 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2010-02-24 16:01 . 2008-04-13 23:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2010-02-24 14:23 . 2010-02-22 17:28 180224 ----a-w- c:\windows\system32\igfxres.dll
2010-02-22 18:29 . 2008-04-13 23:15 6272 -c--a-w- c:\windows\system32\dllcache\splitter.sys
2010-02-22 18:29 . 2008-04-13 23:15 6272 ----a-w- c:\windows\system32\drivers\splitter.sys
2010-02-22 18:18 . 2010-02-22 18:18 -------- d-----w- c:\windows\system32\Lang
2010-02-22 18:18 . 2010-02-22 18:18 -------- d-----w- c:\windows\system32\x64
2010-02-22 18:18 . 2010-02-22 17:28 399896 ----a-w- c:\windows\system32\igxpun.exe
2010-02-22 18:17 . 2010-02-22 18:17 -------- dc----w- c:\windows\system32\DRVSTORE
2010-02-22 18:17 . 2010-02-22 17:28 319456 ----a-w- c:\windows\system32\difxapi.dll
2010-02-22 18:07 . 2008-04-14 22:50 54784 ----a-w- c:\windows\system32\vfwwdm32.dll
2010-02-22 18:07 . 2008-04-14 21:50 4096 -c--a-w- c:\windows\system32\dllcache\ksuser.dll
2010-02-22 18:07 . 2008-04-14 21:50 4096 ----a-w- c:\windows\system32\ksuser.dll
2010-02-22 18:07 . 2008-04-14 00:16 121984 ----a-w- c:\windows\system32\drivers\usbvideo.sys
2010-02-22 18:07 . 2008-04-14 21:35 58880 ----a-w- c:\windows\system32\drivers\redbook.sys
2010-02-22 18:07 . 2008-04-14 21:25 23296 ----a-w- c:\windows\system32\drivers\mouclass.sys
2010-02-22 18:07 . 2008-04-14 22:50 77312 ----a-w- c:\windows\system32\usbui.dll
2010-02-22 18:06 . 2008-04-14 00:06 10240 ----a-w- c:\windows\system32\drivers\compbatt.sys
2010-02-22 18:06 . 2008-04-14 00:06 14208 ----a-w- c:\windows\system32\drivers\battc.sys
2010-02-22 18:06 . 2008-04-14 00:06 13952 ----a-w- c:\windows\system32\drivers\cmbatt.sys
2010-02-22 18:04 . 2010-03-01 19:09 -------- d-----w- c:\windows\system32\CatRoot2
2010-02-22 18:04 . 2010-02-22 18:04 -------- d-----w- c:\windows\system32\CatRoot
2010-02-22 18:04 . 2010-02-22 18:05 -------- d--h--r- c:\documents and settings\Default User\Dane aplikacji
2010-02-22 18:04 . 2010-02-22 17:58 -------- d--h--r- c:\documents and settings\All Users\Dane aplikacji
2010-02-22 18:04 . 2010-03-01 08:08 -------- d--h--w- c:\documents and settings\Default User
2010-02-22 18:04 . 2010-02-25 14:37 -------- d-----w- C:\Documents and Settings
2010-02-22 18:04 . 2010-02-22 17:16 -------- d-----w- c:\documents and settings\All Users
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-24 14:20 . 2010-02-22 17:16 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-02-22 17:58 . 2010-02-22 17:58 -------- d-----w- c:\program files\Alwil Software
2010-02-22 17:58 . 2010-02-22 17:58 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Alwil Software
2010-02-22 17:31 . 2007-12-26 10:20 288000 ----a-w- c:\windows\system32\drivers\RTL8187B.sys
2010-02-22 17:29 . 2007-11-20 18:15 1826816 ----a-w- c:\windows\SkyTel.exe
2010-02-22 17:29 . 2006-07-21 16:14 86016 ----a-w- c:\windows\SOUNDMAN.EXE
2010-02-22 17:29 . 2007-11-07 17:31 1191936 ----a-w- c:\windows\RtlUpd.exe
2010-02-22 17:29 . 2007-03-23 19:19 9715200 ----a-w- c:\windows\RTLCPL.EXE
2010-02-22 17:29 . 2008-01-30 11:28 4725760 ----a-w- c:\windows\system32\drivers\rtkhdaud.sys
2010-02-22 17:29 . 2008-01-29 15:47 16859648 ----a-w- c:\windows\RTHDCPL.EXE
2010-02-22 17:29 . 2007-06-28 16:44 2165760 ----a-w- c:\windows\MicCal.exe
2010-02-22 17:29 . 2006-05-04 16:26 2808832 ----a-w- c:\windows\ALCWZRD.EXE
2010-02-22 17:29 . 2005-05-03 18:43 69632 ----a-w- c:\windows\ALCMTR.EXE
2010-02-22 17:29 . 2008-01-03 22:10 105856 ----a-w- c:\windows\system32\drivers\Rtenicxp.sys
2010-02-22 17:23 . 2008-04-15 12:00 49910 ----a-w- c:\windows\system32\perfc015.dat
2010-02-22 17:23 . 2008-04-15 12:00 356068 ----a-w- c:\windows\system32\perfh015.dat
2010-02-22 17:17 . 2010-02-22 17:17 -------- d-----w- c:\program files\microsoft frontpage
2010-02-22 17:15 . 2010-02-22 17:15 -------- d-----w- c:\program files\Usługi online
2010-02-22 17:13 . 2010-02-22 17:13 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2010-02-11 18:53 . 2010-02-22 17:58 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-02-11 18:53 . 2010-02-22 17:58 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-02-11 18:42 . 2010-02-22 17:58 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-02-11 18:42 . 2010-02-22 17:58 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-02-11 18:39 . 2010-02-22 17:58 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-02-11 18:38 . 2010-02-22 17:58 100432 ----a-w- c:\windows\system32\drivers\aswMon2.sys
2010-02-11 18:38 . 2010-02-22 17:58 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-02-11 18:38 . 2010-02-22 17:58 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-02-11 18:38 . 2010-02-22 17:58 28880 ----a-w- c:\windows\system32\drivers\Aavmker4.sys
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"autoruns"="c:\windows\system32\lghropli.exe" [BU]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-02-22 162512]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-02-22 19024]
S3 RTL8187B;Realtek RTL8187B bezprzewodowe 802.11b/g 54Mbps USB 2.0 karta sieciowa ;c:\windows\system32\drivers\RTL8187B.sys [2007-12-26 288000]
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-01 20:12
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2010-03-01 20:14:31
ComboFix-quarantined-files.txt 2010-03-01 19:14
ComboFix2.txt 2010-03-01 08:15
Przed: 48 046 436 352 bajtów wolnych
Po: 48 014 393 344 bajtów wolnych
- - End Of File - - 64867DFC364CE17309328B87CB91C7FB
Pobierz The Avenger w pole Input script here wklej poniższy tekst:
Files to delete:
c:\windows\system32\cwcpjgps.exe
klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Dodatek Service Pack 3)
Mon Mar 01 22:35:42 2010
22:35:41: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "c:\windows\system32\cwcpjgps.exe" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Ok, więcej nic tu nie widzę.
W OTL kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Zrobiłem clean up otlem, zrobił restart i uruchomił sie juz w trybie normalnym i podobnie jak do tej pory, tapeta jest, pasek jest ale na pasku brak ikon tylko zegar, po najechaniu na pasek robi sie klepsydra, alt ctrl del nie działa, i musiąłem wyłączyć na siłę bo nic nie reaguje - nie wiem czy to dobrze i czy ruszać z ccleanem i następnymi rzeczami?
Na razie wykonaj pozostałe czynności, możesz w trybie awaryjnym. Jeśli problemy nadal będą występować spróbuj instalacji nakładkowej http://helpc.eu/instalacja-nakladkowa-t2198.html
W ccleanerze zrobić tylko czyszczenie czy integralność systemu też - zrobiłem tam analizę i dużo rzeczy znalazł - nie wiem czy dać "napraw zaznaczone problemy?"?
Tak.
Przywracanie wyłączyłem ale już nie mogę włączyć w awaryjnym a zwykły zawisnął przy próbie wejścia na mój komputer
To na razie nie włączaj.
He - poczekałem te parę minut, mieliło i mieliło i nagle wszystko ruszyło - już włączyłem i instaluję mbytes w normalnym trybie
[ Dodano: 2010-03-02, 21:29 ]
W takim razie jest czysto.
System sie wieszał i ładował w nieskończoność, wrzuciłem xp i dałem naprawę systemu i wszystko ładnie teraz działa - stokrotne dzięki za pomoc, mam jeszcze taki problem - mam przenośny duży dysk z dwoma partycjami - boję sie że zainfekowany - nie chce formatować bo szkoda mi zdjęć, muzy itp, podpinać go wogóle i co zrobić żeby bylo ok?
najbezpieczniej to podlaczyc i odpalic pod np: Linuxem i uleczyc...
ew. podlaczyc, nie wchodzic na zadną z tych partycji i zeskanowac jakims antywirusem
np: Avast, nod32 - ale po podlaczeniu dysku, moze chciec wejść
