Kod:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:43:47, on 2008-11-02
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\programy\avast\aswUpdSv.exe
D:\programy\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
D:\programy\avast\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\ctfmon.exe
D:\programy\Tlen.pl\tlen.exe
C:\Program Files\Java\jre6\bin\jqs.exe
D:\programy\avast\ashMaiSv.exe
D:\programy\avast\ashWebSv.exe
D:\programy\firefox\firefox.exe
D:\programy\jedaudio\JetAudio.exe
C:\Program Files\Java\jre6\bin\java.exe
D:\programy\utorrent\uTorrent.exe
C:\WINDOWS\explorer.exe
D:\programy\skany logi\hijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programy\adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] D:\programy\avast\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DriverUpdaterPro] D:\programysterowniki do grafiki\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKCU\..\Run: [Komunikator] D:\programy\Tlen.pl\tlen.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8B6D737-7564-4836-ADDB-89E5A6160424}: NameServer = 195.225.36.2 195.225.36.16
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\programy\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\programy\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\programy\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\programy\avast\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
--
End of file - 4948 bytes
KOD
ComboFix 08-11-01.06 - Administrator 2008-11-02 15:47:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1032 [GMT 1:00]
Uruchomiony z: C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.
((((((((((((((((((((((((( Pliki utworzone od 2008-10-02 do 2008-11-02 )))))))))))))))))))))))))))))))
.
2008-11-02 14:04 . 2008-11-02 14:04 7,031 --a------ C:\WINDOWS\Ascd_tmp.ini
2008-11-02 14:04 . 2000-03-29 23:17 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2008-11-02 13:24 . 2008-11-02 13:24 214 --a------ C:\WINDOWS\wcx_ftp.ini
2008-11-02 13:21 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\UC.PIF
2008-11-02 13:21 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\RAR.PIF
2008-11-02 13:21 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-11-02 13:21 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-11-02 13:21 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-11-02 13:21 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\LHA.PIF
2008-11-02 13:21 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\ARJ.PIF
2008-11-02 13:21 . 2008-11-02 13:24 532 --a------ C:\WINDOWS\wincmd.ini
2008-11-02 12:40 . 2008-11-02 15:48 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\uTorrent
2008-11-02 12:15 . 2008-11-02 12:15 <DIR> d-------- C:\WINDOWS\Sun
2008-11-02 12:15 . 2008-11-02 12:44 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-11-02 12:10 . 2008-11-02 12:10 <DIR> d-------- C:\Program Files\Sun
2008-11-02 12:10 . 2008-11-02 12:10 <DIR> d-------- C:\Program Files\Java
2008-11-02 12:10 . 2008-11-02 12:10 410,976 --a------ C:\WINDOWS\system32\deploytk.dll
2008-11-02 12:10 . 2008-11-02 12:10 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-11-02 02:35 . 2008-11-02 02:35 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\Gadu-Gadu
2008-11-02 02:34 . 2008-11-02 02:35 <DIR> d-------- C:\Documents and Settings\Administrator\Gadu-Gadu
2008-11-02 02:26 . 2008-11-02 02:26 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\tlen.pl
2008-11-02 02:26 . 2008-11-02 02:26 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\Tlen.pl
2008-11-02 02:11 . 2008-11-02 02:11 42 --a------ C:\WINDOWS\JFEXRMC.INI
2008-11-02 02:07 . 2008-11-02 02:07 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\COWON
2008-11-02 02:04 . 2008-11-02 02:04 <DIR> d-------- C:\Program Files\Common Files\COWON
2008-11-02 02:03 . 2008-11-02 02:03 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\InstallShield
2008-11-02 02:01 . 1998-01-23 14:14 271,664 --a------ C:\WINDOWS\IS160415.EXE
2008-11-02 02:01 . 1995-07-13 17:43 26,768 --a------ C:\WINDOWS\system\CTL3D.DLL
2008-11-02 01:52 . 2008-11-02 01:54 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-11-02 01:51 . 2008-11-02 01:51 <DIR> d-------- C:\WINDOWS\Cache
2008-11-02 01:50 . 2008-11-02 02:25 3,686,454 --a------ C:\WINDOWS\ACD Wallpaper.bmp
2008-11-02 01:34 . 2008-11-02 12:54 314 --a------ C:\WINDOWS\Chrome9HC.uns
2008-11-02 01:30 . 2008-11-02 14:05 <DIR> d-------- C:\Program Files\S3
2008-11-02 01:23 . 2008-11-02 01:23 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2008-11-02 01:20 . 2008-11-02 01:20 <DIR> d-------- C:\WINDOWS\PCTEL
2008-11-02 01:20 . 2008-11-02 14:05 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-11-02 01:15 . 2003-06-18 16:48 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-11-02 01:15 . 2003-07-02 04:42 27,904 --a------ C:\WINDOWS\system32\drivers\VIAAGP1.SYS
2008-11-02 01:14 . 2008-11-02 01:14 <DIR> d-------- C:\Documents and Settings\Administrator\WINDOWS
2008-11-02 01:13 . 2008-11-02 02:06 <DIR> d-------- C:\Program Files\Common Files\InstallShield
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-01 22:52 --------- d-----w C:\Program Files\microsoft frontpage
2008-11-01 22:51 --------- d-----w C:\Program Files\MSXML 6.0
2008-11-01 22:51 --------- d-----w C:\Program Files\MSXML 4.0
2008-11-01 22:50 --------- d-----w C:\Program Files\Usługi online
2008-11-01 22:48 --------- d-----w C:\Program Files\Windows Media Connect 2
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"Komunikator"="D:\programy\Tlen.pl\tlen.exe" [2008-10-14 5834216]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="D:\programy\avast\ashDisp.exe" [2008-07-19 78008]
"SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2008-11-02 136600]
"VTTimer"="VTTimer.exe" [2005-03-07 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-10-31 C:\WINDOWS\system32\VTTrayp.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-01-24 C:\WINDOWS\system32\advpack.dll]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"D:\\programy\\Tlen.pl\\tlen.exe"=
"D:\\programy\\utorrent\\uTorrent.exe"=
"D:\\programy\\totalcmd\\TOTALCMD.EXE"=
"D:\\programy\\DC++\\DCPlusPlus.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 JavaQuickStarterService;Java Quick Starter;C:\Program Files\Java\jre6\bin\jqs.exe [2008-11-02 152984]
R3 es1969;Sterownik audio ESS 1969 (WDM);C:\WINDOWS\system32\drivers\es1969.sys [2001-08-17 72192]
*Newly Created Service* - PROCEXP90
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKCU-Run-DriverUpdaterPro - D:\programysterowniki do grafiki\Driver Updater Pro\DriverUpdaterPro.exe
.
------- Skan uzupełniający -------
.
FireFox -: Profile - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\grfjt5zh.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - google.pl
FF -: plugin - C:\Program Files\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - D:\programy\adobe\Reader\browser\nppdf32.dll
FF -: plugin - D:\programy\firefox\plugins\npdeploytk.dll
FF -: plugin - D:\programy\firefox\plugins\npnul32.dll
FF -: plugin - D:\programy\firefox\plugins\nppdf32.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-02 15:48:42
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2008-11-02 15:49:20
ComboFix-quarantined-files.txt 2008-11-02 14:49:16
Przed: 11,519,561,728 bajtów wolnych
Po: 11,553,316,864 bajtów wolnych
116
pytałem już o to na innym forum stwierdzili ze jest czysto
trudno się przyznać ale to się zaczęło jakiś czas temu gdy wróciłem do domu z pracy moja dziewczyna stwierdziła ze się wkużyła i usuneła dyski wirtualne
ale dyski były na miejscu wiec sie tym nie przejołem dopiero po czasie zrozumiałem ze coś napsociła
ale jak by jej tu nie kochać ehm