Usuwanie wirusów iexplore.exe / log hijack

**xalice15x** · #1 10 listopada 2008, 18:14

Hey guys,
Um. Za każdym razem, kiedy zaczynam się mój komputer, iexplore.exe (zadaniem W żłobie) wyjdzie wszystkim sama. I nie zawsze używać przeglądarki Internet Explorer, Firefox używać. ale to wyjdzie na własny rachunek. To również za pomocą większości mojej pamięci. Jestem również uzyskanie mld wyskakujących, które jestem skłonny się z tego zakładu. I za każdym razem, gdy koniec procesu wraca do 3 lub 4 razy, to zwykle udaje się po 5 czasie i celu. ale jest to jedynie około 5min następnie jego powrotem. Czy ktoś wie whats going on? I've run skanuje z Ad-Aware, Norton, itp., ale nie znaleziono niczego.
Dodatkowe informacje:
Mam Window XP
& & Również istnieją głosy fcoming z reklam. Próbowałem wszystkiego. Thanks in advance ^ __ ^

I'm rodzaju nowy na tym. Więc erm. Czy ktoś może mi powiedzieć, jak go usunąć? W prosty sposób-owski? = P

Logfile z HijackThis v1.99.1
Skanowanie zapisane w 6:14:25 PM, na 11/10/2008
Platforma: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Uruchamianie procesów:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccsetmgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
C: \ WINDOWS \ explorer.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ ehome \ ehtray.exe
C: \ windows \ system \ hpsysdrv.exe
C: \ Program Files \ HP \ Digital Imaging \ Unload \ HpqCmon.exe
C: \ WINDOWS \ System32 \ hphmon05.exe
C: \ HP \ kbd \ KBD.EXE
C: \ WINDOWS \ LTMSG.exe
C: \ Program Files \ Multimedia Card Reader \ shwicon2k.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe
C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe
C: \ Program Files \ Microsoft Office \ Office12 \ groovemonitor.exe
C: \ WINDOWS \ ALCXMNTR.EXE
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ Program Files \ HP \ Digital Imaging \ bin \ hpqtra08.exe
C: \ Program Files \ Updates HP \ 137903 \ Program \ BackWeb-137903.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Photodex \ ProShowGold \ ScsiAccess.EXE
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ WINDOWS \ system32 \ 0LFlxR4x.exe
C: \ Program Files \ Lavasoft \ Ad-Aware SE Professional \ Ad-Aware.exe
C: \ PROGRA ~ 1 \ WinZip \ winzip32.exe
C: \ DOCUME ~ 1 \ Admini ~ 1 \ LOCALS ~ 1 \ Temp \ HijackThis.exe

R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://srch-us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://srch-us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://srch-us10.hpwis.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://srch-us10.hpwis.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Connection Wizard, ShellNext = http://us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Settings, ProxyOverride = localhost
O2 - BHO: (no name) - (02478D38-C3F9-4efb-9B51-7695ECA05670) - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: (no name) - (3615EE58-6F38-47BA-9DD9-C99BD611C6A6) - C: \ WINDOWS \ system32 \ efcdbxx.dll (plik brakuje)
O2 - BHO: (no name) - (4715C8BC-0204-06D4-0A62-2E00BBB78BBD) - C: \ WINDOWS \ system32 \ izf.dll (plik brakuje)
O2 - BHO: Groove GFS Browser Helper - (72853161-30C5-4D22-B7F9-0BBC1D38A37E) - C: \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ GRA8E1 ~ 1.DLL
O2 - BHO: (no name) - (843B515A-BBC4-4AF2-916D-69E9F7DD8F9D) - C: \ WINDOWS \ system32 \ vtsqo.dll (plik brakuje)
O2 - BHO: (684a8728-dd11-3ef9-b3e4-ea3410654e7c) - (c7e45601-43ae-4e3b-9fe3-11dd8278a486) - C: \ WINDOWS \ system32 \ ikwijhuy.dll (plik brakuje)
O3 - Toolbar: HP Wyświetl - (B2847E28-5D7D-4DEB-8B67-05D28BCF79F5) - C: \ Program Files \ HP \ Digital Imaging \ bin \ hpdtlk02.dll
O4 - HKLM \ .. \ Run: [ehTray] C: \ WINDOWS \ ehome \ ehtray.exe
O4 - HKLM \ .. \ Run: [hpsysdrv] c: \ windows \ system \ hpsysdrv.exe
O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ System32 \ hkcmd.exe
O4 - HKLM \ .. \ Run: [CamMonitor] c: \ Program Files \ HP \ Digital Imaging \ Unload \ HpqCmon.exe
O4 - HKLM \ .. \ Run: [HPHUPD05] c: \ Program Files \ HP \ (45B6180B-DCAB-4093-8EE8-6164457517F0) \ HPHUPD05.exe
O4 - HKLM \ .. \ Run: [HPHmon05] C: \ WINDOWS \ System32 \ hphmon05.exe
O4 - HKLM \ .. \ Run: [kbd] C: \ HP \ kbd \ KBD.EXE
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-OSBOOT
O4 - HKLM \ .. \ Run: [AutoTKit] C: \ HP \ bin \ AUTOTKIT.EXE
O4 - HKLM \ .. \ Run: [Recguard] C: \ WINDOWS \ SMINST \ RECGUARD.EXE
O4 - HKLM \ .. \ Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM \ .. \ Run: [LTMSG] LTMSG.exe 7
O4 - HKLM \ .. \ Run: [PS2] C: \ WINDOWS \ system32 \ ps2.exe
O4 - HKLM \ .. \ Run: [Sunkist2k] C: \ Program Files \ Multimedia Card Reader \ shwicon2k.exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Run: [RemoteControl] "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe"
O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [GrooveMonitor] "C: \ Program Files \ Microsoft Office \ Office12 \ groovemonitor.exe"
O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe"
O4 - HKLM \ .. \ Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" / r
O4 - HKLM \ .. \ Run: [ATIPTA] C: \ Program Files \ ATI Technologies \ ATI Control Panel \ atiptaxx.exe
O4 - HKLM \ .. \ RunOnce: [Index Washer] C: \ Program Files \ Webroot \ Washer \ WashIdx.exe "Administrator"
O4 - HKCU \ .. \ Run: [ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKCU \ .. \ Run: [swg] C: \ Program Files \ Google \ googletoolbarnotifier \ 1.2.1128.5462 \ G oogleToolbarNotifier.exe
O4 - HKCU \ .. \ Run: [Window Washer] C: \ Program Files \ Webroot \ Washer \ wwDisp.exe
O4 - HKCU \ .. \ RunOnce: [Index Washer] C: \ Program Files \ Webroot \ Washer \ WashIdx.exe "Administrator"
O4 - Global Startup: Adobe Gamma Loader.lnk = C: \ Program Files \ Common Files \ Adobe \ Calibration \ Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C: \ Program Files \ HP \ Digital Imaging \ bin \ hpqtra08.exe
O4 - Global Startup: Quicken Planowana Updates.lnk = C: \ Program Files \ Quicken \ bagent.exe
O4 - Global Startup: Aktualizacje z HP.lnk = C: \ Program Files \ Updates HP \ 137903 \ Program \ BackWeb-137903.exe
O8 - Extra kontekście menu: E & ksportuj do programu Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ EXCEL.EXE/3000
O9 - Extra button: Wyślij do programu OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S & end do programu OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ ONBttnIE.dll
O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ REFIEBAR.DLL
O9 - Extra button: Musicmatch MX Web Player - (d81ca86b-ef63-42af-bee3-4502d9a03c2d) -- http://wwws.musicmatch.com/mmz/openWebRadio.html (plik brakuje)
O9 - Extra button: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) -% windir% \ Network Diagnostic \ xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @ Xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) -% windir% \ Network Diagnostic \ xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O11 - Options group: [INTERNATIONAL] International *
O16 - DPF: (67DABFBF-D0AB-41FA-9C46-CC0F21721616) -- http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: grooveLocalGWS - (88FED34C-F0CA-4636-A375-3CB6248B04CD) - C: \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ GR99D3 ~ 1.DLL
O18 - Protocol: ms-help - (314111C7-A502-11D2-BBCA-00C04F8EC294) - C: \ Program Files \ Common Files \ Microsoft Shared \ Help \ hxds.dll
O18 - Filter hijack: text / xml - (807563E5-5146-11d5-A672-00B0D022E945) - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ Micros ~ 1 \ Office12 \ MSOXMLMF.DL L
O20 - Winlogon Notify: dimsntfy -% SystemRoot% \ System32 \ dimsntfy.dll (plik brakuje)
O20 - Winlogon Notify: efcdbxx - efcdbxx.dll (plik brakuje)
O20 - Winlogon Notify: igfxcui - C: \ WINDOWS \ SYSTEM32 \ igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C: \ WINDOWS \ system32 \ NavLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Service \ Adobelmsvc.exe
O23 - Service: Ati Hotkey Poller - Unknown owner - C: \ WINDOWS \ system32 \ Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccsetmgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Service: Pml Driver HPZ12 - HP - C: \ WINDOWS \ system32 \ HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Service: ScsiAccess - Unknown owner - C: \ Program Files \ Photodex \ ProShowGold \ ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe

**evilfantasy** · #2 10 listopada 2008, 20:23

Zapraszamy do CJ.

Prosimy drukować te instrukcje, jak będą potrzebne później, gdy dostęp do Internetu nie jest dostępny.

Pobrać SDFix przez AndyManchesta i zapisz go na pulpicie.

Przy użyciu tego narzędzia, należy użyć Administrator konta lub konto w Prawa administracyjne

Podwójne kliknięcie SDFix.exe i będzie wyodrębnić pliki do% systemdrive%
(jest to dysk, który zawiera katalogu Windows, zazwyczaj C: \ SDFix).
Nie używaj go jeszcze.

Uruchom ponownie komputer w Tryb awaryjny za pomocą F8 metody. Aby to zrobić, uruchom ponownie komputer i po wysłuchaniu komputera sygnał raz podczas uruchamiania (ale przed Windows pojawia się ikona) naciśnij klawisz F8. A pojawi się menu z kilkoma opcjami. Za pomocą klawiszy strzałek do nawigacji i wybierz opcję, aby uruchomić system Windows w trybie awaryjnym ".

Otwórz SDFix folder i kliknij dwukrotnie RunThis.bat , aby uruchomić skrypt.

Typ Y , aby rozpocząć proces oczyszczania.
To będzie usuwać wszelkie Trojan Usługi lub wpisów rejestru znaleźć następnie monit o naciśnij dowolny klawisz, aby ponownie uruchomić komputer.
Naciśnij dowolny klawisz i będzie restart komputera.
Po ponownym uruchomieniu komputera, w Fixtool będą działać ponownie i dokończyć proces usuwania następnie wyświetlić Zakończone, Naciśnij dowolny klawisz do zakończenia skryptu i załadowania ikon na pulpicie.
Po ikony pulpitu załadować SDFix raport zostanie otwarty na ekranie, a także zapisać w folderze SDFix Report.txt.
Skopiuj i wklej zawartość pliku wyniki Report.txt w następnej odpowiedzi.

----------

Także zainstalować nową wersję HijackThis i opublikować nowy dziennik z niego w normalnym trybie po rozruchu SDFix zakończył.

Pobrać TrendMicro HijackThis.exe (HJT) na pulpicie.

Kliknij dwukrotnie HJTInstall.
Kliknij na Zainstaluj przycisk.
Będzie ona automatycznie miejsce w HJT C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe.
Po instalacji, HijackThis należy otworzyć dla Ciebie.
Kliknij na Czy system skanowania i zapisać plik Przycisk
HijackThis skanowania, a następnie zalogować się otworzyć w Notatniku.
Skopiuj, a następnie wkleić całą zawartość dziennika w post.
Nie HijackThis ma jeszcze coś naprawić. Większość z tego, co stwierdzi, będą nieszkodliwe, a nawet konieczne.

**xalice15x** · #3 11 listopada 2008, 08:55

Sprawozdanie SDFix

SDFix: Version 1.240
Prowadzone przez administratora na wtorek 11.11.2008 na 08:39

Microsoft Windows XP [Wersja 5.1.2600]
Running From: C: \ SDFix

Sprawdzanie usług :

Przywracanie bezpieczeństwa Wartości domyślne
Przywracanie domyślnego pliku Hosts

Ponowne uruchamianie

Sprawdzenie plików :

Trojan Files Found:

C: \ Program Files \ nvcoi \ mst.stt - Usunięty

Folderu C: \ Program Files \ nvcoi - Usuniete
Folderu C: \ Program Files \ Temporary - Usuniete
Folderu C: \ Temp \ sanR24 - Usuniete

Usuwanie plików TEMP

ADS Check :

Wersja Sprawdź :

catchme 0.3.1361.2 W2K/XP/Vista - Rootkit / stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-11 08:47:19
Windows 5.1.2600 Service Pack 3 dla systemu plików NTFS

skanowanie ukrytych procesów ...

ukryte usługi skanowania i gałęzi systemowej ...

skanowanie ukrytych wpisów rejestru ...

skanowanie ukrytych plików ...

skanowanie zakończone pomyślnie
ukrytych procesów: 0
ukryte usługi: 0
ukryte pliki: 0

Pozostałych usług :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ usługi es \ sharedaccess \ parameters \ firewallpolicy \ standardowy profil \ authorizedapplications \ list]
"% windir% \ system32 \ \ Sessmgr.exe" = "% windir% \ \ syste m32 \ Sessmgr.exe: *: Enabled: @ Xpsp2res.dll, -22019"
"C: \ Program Files \ \ Updates HP \ \ 137903 \ \ Program \ \ BackWeb-137903.exe" = "C: \ Program Files \ \ Updates HP \ \ 137903 \ \ Program \ \ BackWeb-137903 . exe: *: Disabled: BackWeb-137903 "
"C: \ Program Files \ Microsoft Office \ \ Office12 \ Outlook.exe" = "C: \ Program Files \ Microsoft Office \ \ Office12 \ Outlook.exe: *: Enabled: Microsoft Office Outlook"
"C: \ Program Files \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE" = "C: \ Program Files \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE: *: Enabled: Microsoft Office Groove"
"C: \ Program Files \ Microsoft Office \ \ Office12 \ \ ONENOTE.EXE" = "C: \ Program Files \ Microsoft Office \ \ Office12 \ \ ONENOTE.EXE: *: Enabled: Microsoft Office OneNote"
"C: \ Program Files \ Common Files \ \ AOL \ \ Loader \ aolload.exe" = "C: \ Program Files \ Common Files \ \ AOL \ \ Loader \ aolload.exe: *: Enabled : AOL Loader "
"C: \ Program Files \ \ AIM6 \ \ aim6.exe" = "C: \ Program Files \ \ AIM6 \ \ aim6.exe: *: Enabled: AIM"
"% windir% \ \ Network Diagnostic \ \ xpnetdiag.exe" = "% windir% \ \ Network Diagnostic \ \ xpnetdiag.exe: *: Enabled: @ Xpsp3res.dll, -20000"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ usługi es \ sharedaccess \ parameters \ firewallpolicy \ domainpr ofile \ authorizedapplications \ list]
"% windir% \ system32 \ \ Sessmgr.exe" = "% windir% \ \ syste m32 \ Sessmgr.exe: *: Enabled: @ Xpsp2res.dll, -22019"
"% windir% \ \ Network Diagnostic \ \ xpnetdiag.exe" = "% windir% \ \ Network Diagnostic \ \ xpnetdiag.exe: *: Enabled: @ Xpsp3res.dll, -20000"

Pozostałe pliki :

File Backups: - C: \ SDFix \ backups \ backups.zip

Pliki z Ukryte Atrybuty :

Środa 14 listopada 2007 204 A. SHR --- "C: \ BOOT.BAK"
Piątek 22 sierpnia 2008 635848 A.SH. --- "C: \ Program Files \ Internet Explorer \ iexplore.exe"
Czw 15 lip 2004 0 A.SH. --- "C: \ WINDOWS \ SMINST \ HPCD.SYS"
Czw 10 sty 2008 4348 A.SH. --- "C: \ Documents and Settings \ All Users \ DRM \ DRMv1.bak"
Czw 10 sty 2008 401 A.SH. --- "C: \ Documents and Settings \ All Users \ DRM \ DRMv19.bak"
Środa 29 października 2008 3442 A.SH. --- "C: \ Documents and Settings \ All Users \ Dokumenty \ Recorded TV \ TempRec \ TempSBE \ SBE3.tmp"

Finished!

------------------------------------------

HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Skanowanie zapisane w 8:55:16 AM, na 11.11.2008
Platforma: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Uruchamianie procesów:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccsetmgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
C: \ WINDOWS \ explorer.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Photodex \ ProShowGold \ ScsiAccess.EXE
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ WINDOWS \ ehome \ ehtray.exe
C: \ windows \ system \ hpsysdrv.exe
C: \ Program Files \ HP \ Digital Imaging \ Unload \ HpqCmon.exe
C: \ WINDOWS \ System32 \ hphmon05.exe
C: \ HP \ kbd \ KBD.EXE
C: \ WINDOWS \ LTMSG.exe
C: \ Program Files \ Multimedia Card Reader \ shwicon2k.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe
C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe
C: \ Program Files \ Microsoft Office \ Office12 \ groovemonitor.exe
C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe
C: \ WINDOWS \ ALCXMNTR.EXE
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ Program Files \ Webroot \ Washer \ wwDisp.exe
C: \ Program Files \ HP \ Digital Imaging \ bin \ hpqtra08.exe
C: \ Program Files \ Updates HP \ 137903 \ Program \ BackWeb-137903.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ WINDOWS \ system32 \ notepad.exe
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe

R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://srch-us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://srch-us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://srch-us10.hpwis.com/
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = o: puste
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://srch-us10.hpwis.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Connection Wizard, ShellNext = http://us10.hpwis.com/
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Settings, ProxyOverride = localhost
O2 - BHO: (no name) - (02478D38-C3F9-4efb-9B51-7695ECA05670) - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: (no name) - (4715C8BC-0204-06D4-0A62-2E00BBB78BBD) - C: \ WINDOWS \ system32 \ izf.dll (plik brakuje)
O2 - BHO: Groove GFS Browser Helper - (72853161-30C5-4D22-B7F9-0BBC1D38A37E) - C: \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ GRA8E1 ~ 1.DLL
O2 - BHO: (no name) - (843B515A-BBC4-4AF2-916D-69E9F7DD8F9D) - C: \ WINDOWS \ system32 \ vtsqo.dll (plik brakuje)
O2 - BHO: (684a8728-dd11-3ef9-b3e4-ea3410654e7c) - (c7e45601-43ae-4e3b-9fe3-11dd8278a486) - C: \ WINDOWS \ system32 \ ikwijhuy.dll (plik brakuje)
O3 - Toolbar: HP Wyświetl - (B2847E28-5D7D-4DEB-8B67-05D28BCF79F5) - C: \ Program Files \ HP \ Digital Imaging \ bin \ hpdtlk02.dll
O4 - HKLM \ .. \ Run: [ehTray] C: \ WINDOWS \ ehome \ ehtray.exe
O4 - HKLM \ .. \ Run: [hpsysdrv] c: \ windows \ system \ hpsysdrv.exe
O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ System32 \ hkcmd.exe
O4 - HKLM \ .. \ Run: [CamMonitor] c: \ Program Files \ HP \ Digital Imaging \ Unload \ HpqCmon.exe
O4 - HKLM \ .. \ Run: [HPHUPD05] c: \ Program Files \ HP \ (45B6180B-DCAB-4093-8EE8-6164457517F0) \ HPHUPD05.exe
O4 - HKLM \ .. \ Run: [HPHmon05] C: \ WINDOWS \ System32 \ hphmon05.exe
O4 - HKLM \ .. \ Run: [kbd] C: \ HP \ kbd \ KBD.EXE
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-OSBOOT
O4 - HKLM \ .. \ Run: [AutoTKit] C: \ HP \ bin \ AUTOTKIT.EXE
O4 - HKLM \ .. \ Run: [Recguard] C: \ WINDOWS \ SMINST \ RECGUARD.EXE
O4 - HKLM \ .. \ Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM \ .. \ Run: [LTMSG] LTMSG.exe 7
O4 - HKLM \ .. \ Run: [PS2] C: \ WINDOWS \ system32 \ ps2.exe
O4 - HKLM \ .. \ Run: [Sunkist2k] C: \ Program Files \ Multimedia Card Reader \ shwicon2k.exe
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Run: [RemoteControl] "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe"
O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [GrooveMonitor] "C: \ Program Files \ Microsoft Office \ Office12 \ groovemonitor.exe"
O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe"
O4 - HKLM \ .. \ Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" / r
O4 - HKLM \ .. \ Run: [ATIPTA] C: \ Program Files \ ATI Technologies \ ATI Control Panel \ atiptaxx.exe
O4 - HKCU \ .. \ Run: [ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKCU \ .. \ Run: [swg] C: \ Program Files \ Google \ googletoolbarnotifier \ 1.2.1128.5462 \ G oogleToolbarNotifier.exe
O4 - HKCU \ .. \ Run: [Window Washer] C: \ Program Files \ Webroot \ Washer \ wwDisp.exe
O4 - HKUS \ S-1-5-18 \ .. \ Run: [AdobeUpdater] C: \ Program Files \ Common Files \ Adobe \ Updater5 \ AdobeUpdater.exe (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [AdobeUpdater] C: \ Program Files \ Common Files \ Adobe \ Updater5 \ AdobeUpdater.exe (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C: \ Program Files \ Common Files \ Adobe \ Calibration \ Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C: \ Program Files \ HP \ Digital Imaging \ bin \ hpqtra08.exe
O4 - Global Startup: Quicken Planowana Updates.lnk = C: \ Program Files \ Quicken \ bagent.exe
O4 - Global Startup: Aktualizacje z HP.lnk = C: \ Program Files \ Updates HP \ 137903 \ Program \ BackWeb-137903.exe
O8 - Extra kontekście menu: E & ksportuj do programu Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ EXCEL.EXE/3000
O9 - Extra button: Wyślij do programu OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S & end do programu OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ ONBttnIE.dll
O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ REFIEBAR.DLL
O9 - Extra button: Musicmatch MX Web Player - (d81ca86b-ef63-42af-bee3-4502d9a03c2d) -- http://wwws.musicmatch.com/mmz/openWebRadio.html (plik brakuje)
O9 - Extra button: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @ Xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (67DABFBF-D0AB-41FA-9C46-CC0F21721616) -- http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: grooveLocalGWS - (88FED34C-F0CA-4636-A375-3CB6248B04CD) - C: \ PROGRA ~ 1 \ MI1933 ~ 1 \ Office12 \ GR99D3 ~ 1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Service \ Adobelmsvc.exe
O23 - Service: Ati Hotkey Poller - Unknown owner - C: \ WINDOWS \ system32 \ Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccsetmgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Service: Pml Driver HPZ12 - HP - C: \ WINDOWS \ system32 \ HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Service: ScsiAccess - Unknown owner - C: \ Program Files \ Photodex \ ProShowGold \ ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe

--
End of file - 9268 bytes

**evilfantasy** · #4 11 listopada 2008, 11:07

Pobrać Wyłącz / Usuń składniki systemu Windows Messenger do pulpitu do usunięcia Windows Messenger.

Nie należy mylić Windows Messenger z MSN Messenger ponieważ nie są one takie same. Windows Messenger jest często przyczyną pop.

Rozpakuj plik na pulpicie. Otwórz MessengerDisable.exe i na dole pole wyboru -- Odinstalowywanie programu Windows Messenger i kliknij Zastosować.

Wyjdź z MessengerDisable usuń dwa pliki, które zostały wprowadzone na pulpicie.

----------

Otwórz HijackThis i wybierz Czy system skanowania tylko.

Miejsce zaznaczyć na następujące pozycje: (jeśli istnieje)

- O2 - BHO: (no name) - (02478D38-C3F9-4efb-9B51-7695ECA05670) - (no file)
- O2 - BHO: (no name) - (4715C8BC-0204-06D4-0A62-2E00BBB78BBD) - C: \ WINDOWS \ system32 \ izf.dll (plik brakuje)
- O2 - BHO: (no name) - (843B515A-BBC4-4AF2-916D-69E9F7DD8F9D) - C: \ WINDOWS \ system32 \ vtsqo.dll (plik brakuje)
- O2 - BHO: (684a8728-dd11-3ef9-b3e4-ea3410654e7c) - (c7e45601-43ae-4e3b-9fe3-11dd8278a486) - C: \ WINDOWS \ system32 \ ikwijhuy.dll (plik brakuje)
- O4 - HKLM \ .. \ Run: [AlcxMonitor] ALCXMNTR.EXE

Ważne: Zamknij wszystkie okna wyjątkiem HijackThis a następnie kliknij przycisk Napraw zaznaczone.

Wyjdź HijackThis.

----------

Uwaga: poniżej instrukcje zostały stworzone specjalnie dla tego użytkownika. Jeśli nie jesteś tego użytkownika, NIE poniższe wskazówki, jak mogą one uszkodzić twój system funkcjonowania

Idź do Start> Uruchom i wpisz notepad.exe następnie kliknij przycisk OK

Skopiuj i wklej poniżej do Notatnika i zapisać jako fixme.reg aby Twoja Desktop

Kod:

REGEDIT4 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run] "AlcxMonitor" =-

Zlokalizuj fixme.reg na pulpicie i kliknij go dwukrotnie. Odpowiedź Tak Po pojawieniu się monitu o połączeniu z rejestru.

Upewnij się, że mi powiedzieć, jeżeli pojawi się komunikat o sukcesie dodanie wyżej do rejestru. Jeśli nie otrzymasz wiadomości sukces, to nie działa.

Usuń fixme.reg z pulpitu.

----------

Pobierz ComboFix przez subs jeden z poniższych linków. Bądź pewny górę zapisać je do Desktop.

Link # 1
Link # 2

** Uwaga: Ważne jest, że jest to zapisane bezpośrednio na pulpicie

Zamknij wszystkie otwarte internetowych. (Firefox, Internet Explorer, itp.) przed rozpoczęciem ComboFix.

Tymczasowo wyłączyć twój antywirusowe, Oraz wszelkie AntiSpyware Ochrona w czasie rzeczywistym przed wykonywania skanowania. Kliknij link aby wyświetlić listę programów bezpieczeństwa, które powinny być wyłączone i jak je wyłączyć.

Dwukrotnie kliknij combofix.exe i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.

Dla Windows XP Systemy zainstalować Konsolę odzyskiwania:

- Jeśli korzystasz z systemu Windows XP i nie masz jeszcze z konsoli odzyskiwania zainstalowane, należy zapewnić połączenie internetowe jest aktywne (jeśli to możliwe) i kliknij Tak.
- Jeśli z jakiegoś powodu Twój Internet nie działa kliknij Nie.
-- Jeśli nie korzystasz z systemu Windows XP, nie będzie monit.
- Po pojawieniu się monitu o zaakceptowanie Umowy Licencyjnej kliknij OK.
- Akceptuj Microsoft EULA (Kliknij Tak).
- Kiedy powiedziałem, że RC jest zainstalowany poprawnie kliknij TAK aby kontynuować skanowanie dla złośliwego oprogramowania.

Po zakończeniu ComboFix będzie produkować dziennik dla Ciebie.
Opublikuj na ComboFix log w następnej odpowiedzi.

Ważne: Nie mouseclick ComboFix okna, gdy jest uruchomiony. To może spowodować, że stoisko.

Pamiętaj, aby ponownie uaktywnić antywirusowe i AntiSpyware ochrony gdy ComboFix jest zakończona.

Również let me know-how na komputerze jest uruchomiony teraz.

**xalice15x** · #5 11 listopada 2008, 11:55

ComboFix log

ComboFix 08-11-10.01 - Administrator 2008-11-11 11:39:43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.176 [GMT -7:00]
Uruchamianie z: c: \ Documents and Settings \ Administrator \ Desktop \ ComboFix.exe
* Utworzono nowy punkt przywracania
.

((((((((((((((((((((((((((((((((((((((( Inne Skreślenia ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

c: \ Documents and Settings \ Administrator \ Moje Dokumenty \ TSKS ~ 1
C: \ Program Files \ Common Files \ racle ~ 1
C: \ Program Files \ stem32 ~ 1
C: \ Program Files \ wnsxs ~ 1
c: \ windows \ BMf3ec611b.txt
c: \ windows \ system32 \0LFlxR4x.exe.a_a
c: \ windows \ system32 \ epljwqgq.ini
c: \ windows \ system32 \ fj8wNOvc.exe.a_a
c: \ windows \ system32 \ icidbcft.ini
c: \ windows \ system32 \ iDlo01
c: \ windows \ system32 \ jrjvfibu.ini
c: \ windows \ system32 \ jryeuaqx.ini
c: \ windows \ system32 \ mcrh.tmp
c: \ windows \ system32 \ MSINET.oca
c: \ windows \ system32 \ mvmqocpc.ini
c: \ windows \ system32 \ oqstv.ini
c: \ windows \ system32 \ oqstv.ini2
D: \ Autorun.inf

.
((((((((((((((((((((((((( Pliki utworzone od 2008-10-11 do 2008-11-11 ))))))))))) ))))))))))))))))))))
.

2008-11-11 08:54. 2008-11-11 08:54 <DIR> d -------- C: \ Program Files \ Trend Micro
2008-11-11 08:38. 2008-11-11 08:38 578.560 - a - c --- C: \ Windows \ system32 \ dllcache \ user32.dll
2008-11-11 08:29. 2008-11-11 08:29 <DIR> d -------- c: \ windows \ ERUNT
2008-11-11 08:23. 2008-11-11 08:51 <DIR> d -------- C: \ SDFix
2008-11-02 09:12. 2008-11-10 14:10 41.474 - a ------ c: \ windows \ system32 \0LFlxR4x.exe_
2008-11-02 09:12. 2008-11-11 09:12 40.450 - a ------ c: \ windows \ system32 \0LFlxR4x.exe
2008-10-31 18:00. 2008-10-31 18:00 <DIR> d -------- c: \ Documents and Settings \ NetworkService \ Dane aplikacji \ Yahoo!
2008-10-31 16:40. 2008-10-31 16:40 <DIR> d -------- c: \ Documents and Settings \ Administrator \ Dane aplikacji \ Yahoo!
2008-10-31 16:39. 2008-11-10 17:27 <DIR> d -------- C: \ Program Files \ Yahoo!
2008-10-29 17:23. 2008-10-29 17:23 <DIR> d -------- c: \ windows \ system32 \ CatRoot_bak
2008-10-29 17:23. 2008-09-08 03:41 333.824 ----- c --- C: \ Windows \ system32 \ dllcache \ Srv.sys
2008-10-29 17:23. 2008-06-13 04:05 272.128 ----- c --- C: \ Windows \ system32 \ dllcache \ bthport.sys
2008-10-29 17:23. 2008-08-14 03:04 138.496 ----- c --- C: \ Windows \ system32 \ dllcache \ afd.sys
2008-10-29 17:22. 2008-08-14 03:11 2.189.184 ----- c --- C: \ Windows \ system32 \ dllcache \ ntoskrnl.exe
2008-10-29 17:22. 2008-08-14 03:09 2.145.280 ----- c --- C: \ Windows \ system32 \ dllcache \ Ntkrnlmp.exe
2008-10-29 17:22. 2008-08-14 02:33 2.066.048 ----- c --- C: \ Windows \ system32 \ dllcache \ ntkrnlpa.exe
2008-10-29 17:22. 2008-08-14 02:33 2.023.936 ----- c --- C: \ Windows \ system32 \ dllcache \ Ntkrpamp.exe
2008-10-29 17:22. 2008-09-15 05:12 1.846.400 ----- c --- C: \ Windows \ system32 \ dllcache \ win32k.sys
2008-10-29 17:22. 2008-04-11 12:04 691.712 ----- c --- C: \ Windows \ system32 \ dllcache \ Inetcomm.dll
2008-10-29 17:22. 2008-05-08 07:02 203.136 ----- c --- C: \ Windows \ system32 \ dllcache \ rmcast.sys
2008-10-28 18:39. 2008-10-28 18:39 10 - a ------ c: \ windows \ Wininit.ini
2008-10-23 14:45. 2008-10-15 09:34 337.408 ----- c --- C: \ Windows \ system32 \ dllcache \ Netapi32.dll
2008-10-15 18:38. 2008-10-29 15:26 <DIR> d -------- c: \ windows \ system32 \ scripting
2008-10-15 18:38. 2008-10-29 15:26 <DIR> d -------- c: \ windows \ system32 \ pl
2008-10-15 18:38. 2008-10-29 15:26 <DIR> d -------- c: \ windows \ system32 \ bits
2008-10-15 18:38. 2008-10-29 15:26 <DIR> d -------- c: \ windows \ l2schemas
2008-10-15 18:23. 2007-06-13 03:23 1.033.216 - a ------ c: \ windows \ SET25A.tmp
2008-10-15 18:22. 2008-08-14 03:09 2.145.280 - a ------ c: \ windows \ system32 \ ntoskrnl.exe
2008-10-15 16:09. 2008-10-15 16:09 <DIR> d -------- c: \ Documents and Settings \ Administrator \ Dane aplikacji \ Motive
2008-10-12 17:26. 2008-10-12 17:25 30.272 - a ------ c: \ windows \ system32 \ fj8wNOvc.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-11 18:38 --------- d ----- wc: \ Program Files \ Symantec AntiVirus
2008-11-10 22:05 --------- d ----- wc: \ Program Files \ DivX
2008-11-10 22:03 --------- d ----- wc: \ Program Files \ Java
2008-11-10 01:37 --------- d ----- wc: \ Program Files \ Microsoft Plus! Digital Media Edition
2008-11-10 01:35 --------- d ----- wc: \ Program Files \ Microsoft Works
2008-11-08 02:37 90.112 ---- aw C: \ Windows \ DUMP3a98.tmp
2008-11-08 01:26 30 ---- aw C: \ Documents and Settings \ Administrator \ jagex_runescape_preferences. Dat
2008-10-29 22:21 77.824 ---- aw C: \ Windows \ PCHealth \ HelpCtr \ Vendors \ CN = Hewlett-Packard, L = Cupertino, S = Ca, C = US \ pawilon \ XPENABP4EN \ wtyczki \ bin \ FDIWrapper.dll
2008-10-29 22:21 69.632 ---- aw C: \ Windows \ PCHealth \ HelpCtr \ Vendors \ CN = Hewlett-Packard, L = Cupertino, S = Ca, C = US \ pawilon \ XPENABP4EN \ wtyczki \ bin \ jsharpde \ msxmlwrapper.dll
2008-10-29 22:21 5.632 ---- aw C: \ Windows \ PCHealth \ HelpCtr \ Vendors \ CN = Hewlett-Packard, L = Cupertino, S = Ca, C = US \ pawilon \ XPENABP4EN \ wtyczki \ bin \ jsharpde \ GUI.dll
2008-10-29 22:21 49.152 ---- aw C: \ Windows \ PCHealth \ HelpCtr \ Vendors \ CN = Hewlett-Packard, L = Cupertino, S = Ca, C = US \ pawilon \ XPENABP4EN \ wtyczki \ bin \ PCHI18N.dll
2008-10-29 22:21 32.768 ---- aw C: \ Windows \ PCHealth \ HelpCtr \ Vendors \ CN = Hewlett-Packard, L = Cupertino, S = Ca, C = US \ pawilon \ XPENABP4EN \ wtyczki \ bin \ jsharpde \ pchapi.dll
2008-10-29 22:21 26.572 ---- aw C: \ Windows \ PCHealth \ HelpCtr \ Vendors \ CN = Hewlett-Packard, L = Cupertino, S = Ca, C = US \ pawilon \ XPENABP4EN \ wtyczki \ bin \ jsharpde \ INV16.dll
2008-10-29 22:21 213.089 ---- aw C: \ Windows \ PCHealth \ HelpCtr \ Vendors \ CN = Hewlett-Packard, L = Cupertino, S = Ca, C = US \ pawilon \ XPENABP4EN \ wtyczki \ bin \ jsharpde \ motive.zip
2008-10-29 22:21 139.264 ---- aw C: \ Windows \ PCHealth \ HelpCtr \ Vendors \ CN = Hewlett-Packard, L = Cupertino, S = Ca, C = US \ pawilon \ XPENABP4EN \ wtyczki \ bin \ ContentUpdater.exe
2008-10-29 22:21 114.688 ---- aw C: \ Windows \ PCHealth \ HelpCtr \ Vendors \ CN = Hewlett-Packard, L = Cupertino, S = Ca, C = US \ pawilon \ XPENABP4EN \ wtyczki \ bin \ jsharpde \ ZipLib.dll
2008-10-29 22:21 114.688 ---- aw C: \ Windows \ PCHealth \ HelpCtr \ Vendors \ CN = Hewlett-Packard, L = Cupertino, S = Ca, C = US \ pawilon \ XPENABP4EN \ wtyczki \ bin \ jsharpde \ asst_ui.dll
2008-10-29 22:11 --------- d - h - wc: \ Program Files \ InstallShield Installation Information
2008-10-29 22:11 --------- d ----- wc: \ Program Files \ ATI Technologies
2008-10-25 01:16 --------- d ----- wc: \ Documents and Settings \ Administrator \ Dane aplikacji \ Move Networks
2008-10-16 22:05 --------- d ----- wc: \ Documents and Settings \ All Users \ Dane aplikacji \ Viewpoint
2008-10-16 01:06 --------- d ----- wc: \ Program Files \ Google
2008-09-28 22:59 --------- d ----- wc: \ Program Files \ Common Files \ AOL
2008-09-22 21:29 --------- d ----- wc: \ Documents and Settings \ All Users \ Dane aplikacji \ AOL OCP
2008-09-22 21:29 --------- d ----- wc: \ Documents and Settings \ Administrator \ Dane aplikacji \ acccore
2008-09-22 21:27 --------- d ----- wc: \ Documents and Settings \ All Users \ Dane aplikacji \ AOL
2008-09-17 01:24 --------- d ----- wc: \ Documents and Settings \ Administrator \ Dane aplikacji \ VSO
2008-09-15 12:12 1.846.400 ---- aw C: \ windows \ system32 \ win32k.sys
2008-08-26 07:24 826.368 ---- aw C: \ windows \ system32 \ wininet.dll
2008-08-14 09:33 2.023.936 ---- aw C: \ windows \ system32 \ ntkrnlpa.exe
2007-12-28 00:53 79.738 ---- aw C: \ Documents and Settings \ Fonts \ broken_ghost.zip
2007-11-23 01:25 81.920 ---- aw C: \ Documents and Settings \ Administrator \ Dane aplikacji \ ezpinst.exe
2007-11-23 01:25 47.360 ---- aw C: \ Documents and Settings \ Administrator \ Dane aplikacji \ pcouffin.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Uwaga * puste wpisy & legit domyślne wpisy nie są wyświetlane
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Run]
"ctfmon.exe" = "c: \ windows \ system32 \ ctfmon.exe" [2008-04-13 15360]
"Window Washer" = "C: \ Program Files \ Webroot \ Washer \ wwDisp.exe" [2005-03-08 910336]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"ehTray" = "c: \ windows \ ehome \ ehtray.exe" [2004-08-04 50176]
"hpsysdrv" = "c: \ windows \ system \ hpsysdrv.exe" [1998-05-07 52736]
"HotKeysCmds" = "c: \ windows \ system32 \ hkcmd.exe" [2003-10-02 118784]
"CamMonitor" = "C: \ Program Files \ HP \ Digital Imaging \ Unload \ HpqCmon.exe" [2002-10-07 90112]
"HPHmon05" = "c: \ windows \ system32 \ hphmon05.exe" [2003-05-23 483328]
"Kbd" = "c: \ HP \ kbd \ KBD.EXE" [2003-02-11 61440]
"TkBellExe" = "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe" [2003-12-17 151597]
"Recguard" = "c: \ windows \ SMINST \ RECGUARD.EXE" [2002-09-13 212992]
"PS2" = "c: \ windows \ system32 \ ps2.exe" [2002-10-16 81920]
"Sunkist2k" = "C: \ Program Files \ Multimedia Card Reader \ shwicon2k.exe" [2003-08-14 139264]
"ccApp" = "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" [2005-06-02 48752]
"vptray" = "c: \ Progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2005-06-23 85696]
"RemoteControl" = "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck" = "c: \ windows \ system32 \ NeroCheck.e XE" [2001-07-09 155648]
"GrooveMonitor" = "C: \ Program Files \ Microsoft Office \ Office12 \ groovemonitor.exe" [2006-10-27 31016]
"Adobe Reader Speed Launcher" = "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" [2007-10-10 39792]
"ATIModeChange" = "Ati2mdxx.exe" [2001-09-05 C: \ windows \ system32 \ Ati2mdxx.exe]
"LTMSG" = "LTMSG.exe" [2003-07-14 C: \ Windows \ ltmsg.exe]

[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"AdobeUpdater" = "C: \ Program Files \ Common Files \ Adobe \ Updater5 \ AdobeUpdater.exe" [2007-03-01 2321600]

c: \ Documents and Settings \ All Users \ Menu Start \ Programy \ Autostart \
Adobe Gamma Loader.lnk - C: \ Program Files \ Common Files \ Adobe \ Calibration \ Adobe Gamma Loader.exe [2007-11-22 113664]
HP Digital Imaging Monitor.lnk - C: \ Program Files \ HP \ Digital Imaging \ bin \ hpqtra08.exe [2003-09-16 237568]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Security Center \ Monitoring \ SymantecAntiVirus]
"DisableMonitoring" = dword: 00000001

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% windir% \ system32 \ \ Sessmgr.exe" =
"c: \ Program Files \ \ Updates HP \ \ 137903 \ \ Program \ \ BackWeb-137903.exe" =
"c: \ Program Files \ Microsoft Office \ \ Office12 \ Outlook.exe" =
"c: \ Program Files \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE" =
"c: \ Program Files \ Microsoft Office \ \ Office12 \ \ ONENOTE.EXE" =
"% windir% \ \ Network Diagnostic \ \ xpnetdiag.exe" =

R2 CX88XBAR; Conexant 2388x Crossbar Dual Input; c: \ windows \ system32 \ drivers \ CX88XBARDUAL.sys [2003-12-10 7040]

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ Explorer \ mountpoints2 \ D]
\ Shell \ AutoRun \ command - D: \ Info.exe Folder.htt 480 480

* Nowo utworzone Service * - PROCEXP90
.
Zawartość programu "Zaplanowane zadania" folder

2008-10-30 C: \ Windows \ Zadania \ At1.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-11 C: \ Windows \ Tasks \ At10.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-02 C: \ Windows \ Zadania \ At100.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02 C: \ Windows \ Zadania \ At101.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02 C: \ Windows \ Zadania \ At102.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02 C: \ Windows \ Zadania \ At103.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02 C: \ Windows \ Zadania \ At104.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02 C: \ Windows \ Zadania \ At105.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-11 C: \ Windows \ Zadania \ At106.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-11 C: \ Windows \ Zadania \ At107.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-09 C: \ Windows \ Zadania \ At108.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-09 C: \ Windows \ Zadania \ At109.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-11 C: \ Windows \ Tasks \ At11.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-09 C: \ Windows \ Zadania \ At110.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-10 C: \ Windows \ Zadania \ At111.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-10 C: \ Windows \ Zadania \ At112.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-06 C: \ Windows \ Zadania \ At113.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-09 C: \ Windows \ Zadania \ At114.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-11 C: \ Windows \ Zadania \ At115.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-11 C: \ Windows \ Zadania \ At116.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-09 C: \ Windows \ Zadania \ At117.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02 C: \ Windows \ Zadania \ At118.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02 C: \ Windows \ Zadania \ At119.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-09 C: \ Windows \ Tasks \ At12.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-02 C: \ Windows \ Zadania \ At120.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-09 C: \ Windows \ Tasks \ At13.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-09 C: \ Windows \ Tasks \ At14.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-10 C: \ Windows \ Tasks \ At15.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-10 C: \ Windows \ Tasks \ At16.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-06 C: \ Windows \ Tasks \ At17.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-09 C: \ Windows \ Tasks \ At18.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-11 C: \ Windows \ Tasks \ At19.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-10-30 C: \ Windows \ Zadania \ At2.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-11 C: \ Windows \ Tasks \ At20.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-09 C: \ Windows \ Tasks \ At21.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-10-30 C: \ Windows \ Tasks \ At22.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-10-30 C: \ Windows \ Tasks \ At23.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-10-30 C: \ Windows \ Tasks \ At24.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-10-30 C: \ Windows \ Zadania \ At3.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-10-30 C: \ Windows \ Zadania \ At4.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-10-30 C: \ Windows \ Zadania \ At5.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-10-30 C: \ Windows \ Zadania \ At6.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-10-31 C: \ Windows \ Zadania \ At7.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-10-30 C: \ Windows \ Zadania \ At8.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-01 C: \ Windows \ Zadania \ At9.job
- C: \ windows \ system32 \ fj8wNOvc.exe [2008-10-12 17:25]

2008-11-02 C: \ Windows \ Tasks \ At97.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02 C: \ Windows \ Tasks \ At98.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]

2008-11-02 C: \ Windows \ Tasks \ At99.job
- C: \ windows \ system32 \0LFlxR4x.exe [2008-11-11 09:12]
.
- - - - SIEROT REMOVED - - - --

HKCU-Run-swg - C: \ Program Files \ Google \ googletoolbarnotifier \ 1.2.1128.5462 \ G oogleToolbarNotifier.exe
HKCU-Run-RecordNow! - (No file)
HKLM-Run-HPHUPD05 - C: \ Program Files \ HP \ (45B6180B-DCAB-4093-8EE8-6164457517F0) \ HPHUPD05.exe
HKLM-Run-AutoTKit - C: \ HP \ bin \ AUTOTKIT.EXE
HKLM-Run-UpdateManager - C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe
HKLM-Run-ATIPTA - C: \ Program Files \ ATI Technologies \ ATI Control Panel \ atiptaxx.exe

.
Dodatkowe Scan ------- -------
.
FireFox -: Profile - C: \ Documents and Settings \ Administrator \ Dane aplikacji \ Mozilla \ Firefox \ Profiles \0rews22y.default \
FireFox -: prefs.js - STARTUP.HOMEPAGE - o: puste
FF -: plugin - C: \ Documents and Settings \ Administrator \ Dane aplikacji \ Mozilla \ Firefox \ Profiles \0rews22y.default \ extensions \ moveplayer @ movenetworks. com \ Platforma \ WINNT_x86-MSVC \ plugins \ npmnqmp07076007.dll
FF -: plugin - C: \ Documents and Settings \ Administrator \ Dane aplikacji \ Mozilla \ plugins \ npPxPlay.dll
FF -: plugin - C: \ Program Files \ Mozilla Firefox \ plugins \ npmozax.dll
FF -: plugin - C: \ Program Files \ Mozilla Firefox \ plugins \ npsnapfish.dll
FF -: plugin - C: \ Program Files \ Real \ RealOne Player \ Netscape6 \ nppl3260.dll
FF -: plugin - C: \ Program Files \ Real \ RealOne Player \ Netscape6 \ nprjplug.dll
FF -: plugin - C: \ Program Files \ Real \ RealOne Player \ Netscape6 \ nprpjplug.dll
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - Rootkit / stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-11 11:44:13
Windows 5.1.2600 Service Pack 3 dla systemu plików NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych autostart entries ...

skanowanie ukrytych plików ...

************************************************** ************************
.
Zakończenie czas: 2008-11-11 11:47:43
ComboFix-kwarantannę-files.txt 2008-11-11 18:46:39

Pre-Run: 89004101632 bytes wolny
Post-Run: 89081098240 bytes wolny

272 --- EOF --- 2008-10-30 03:01:59

~ ~
Do tej pory iexplore.exe hasn't popped górę ^ _ ^
Czy mimo to, aby upewnić się, że na to poszedł?
& & Czy to dobrze, jeśli usunąć rzeczy, które mogę pobrać?

**evilfantasy** · #6 11 listopada 2008, 12:04

Będziemy czystych wszystko przed mamy zrobić. Istnieje jeszcze więcej do zrobienia, ale ja się po pewnym czasie. Wrócę później.

**xalice15x** · #7 11 listopada 2008, 12:19

Więcej kroki? Myślałem, że zrobione D:
Szybkie pytanie; Czy tego będą miały wpływ na programy, które są zainstalowane na komputerze?
Alrightie, muszę iść na trochę jak również xP

**xalice15x** · #8 11 listopada 2008, 13:07

iexplore.exe "jeszcze tutaj; -;

**evilfantasy** · #9 11 listopada 2008, 16:28

Nie mamy nie załatwione. I'll give wszystko jasne, kiedy to ponad

Uwaga: poniżej instrukcje zostały stworzone specjalnie dla tego użytkownika. Jeśli nie jesteś tego użytkownika, NIE poniższe wskazówki, jak mogą one uszkodzić twój system funkcjonowania

Usuń te pliki i foldery, w następujący sposób:

1. Idź do Zacząć > Biec > Type Notepad.exe i kliknij OK , aby otworzyć Notatnik.
To musieć Notatnik być, nie programu Wordpad.
2. Kopiowanie tekstu w polu poniżej kod zaznaczając cały tekst i naciskając Ctrl + C

Kod:

3. Przejdź do Notatnik okna i kliknij przycisk Edytuj > Wklej
4. Następnie kliknij Plik > Zapisać
5. Nazwa pliku CFScript.txt - Zapisz plik na pulpicie
6. Następnie przeciągnij CFScript (przytrzymaj lewy przycisk myszy podczas przeciągania pliku), a jej spadek (zwolnić lewy przycisk myszy) w ComboFix.exe jak widać na zrzucie ekranu poniżej. Ważne: Wykonać tę instrukcję uważnie!

ComboFix rozpocznie wykonywać, wystarczy postępować zgodnie z instrukcjami wyświetlanymi na ekranie.
Po ponownym uruchomieniu komputera (w przypadku gdy zwraca się o ponowne uruchomienie komputera), nie dadzą dziennik dla Ciebie.
Opublikuj że log (Combofix.txt) w następnej odpowiedzi.

Uwaga: Nie mouseclick ComboFix okna, gdy jest uruchomiony. To może powodować systemu zamrażać

**xalice15x** · #10 11 listopada 2008, 17:36

Dobra ^ __ ^

Combofix Zaloguj

ComboFix 08-11-10.01 - Administrator 2008-11-11 17:21:42.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.153 [GMT -7:00]
Uruchamianie z: c: \ Documents and Settings \ Administrator \ Desktop \ ComboFix.exe
Polecenie używane polecenia: c: \ Documents and Settings \ Administrator \ Desktop \ CFScript.txt
* Utworzono nowy punkt przywracania

FILE:
c: \ windows \ SET25A.tmp
c: \ windows \ system32 \0LFlxR4x.exe
c: \ windows \ system32 \0LFlxR4x.exe_
c: \ windows \ system32 \ fj8wNOvc.exe
c: \ windows \ Zadania \ At1.job
c: \ windows \ Tasks \ At10.job
c: \ windows \ Zadania \ At100.job
c: \ windows \ Zadania \ At101.job
c: \ windows \ Zadania \ At102.job
c: \ windows \ Zadania \ At103.job
c: \ windows \ Zadania \ At104.job
c: \ windows \ Zadania \ At105.job
c: \ windows \ Zadania \ At106.job
c: \ windows \ Zadania \ At107.job
c: \ windows \ Zadania \ At108.job
c: \ windows \ Zadania \ At109.job
c: \ windows \ Tasks \ At11.job
c: \ windows \ Zadania \ At110.job
c: \ windows \ Zadania \ At111.job
c: \ windows \ Zadania \ At112.job
c: \ windows \ Zadania \ At113.job
c: \ windows \ Zadania \ At114.job
c: \ windows \ Zadania \ At115.job
c: \ windows \ Zadania \ At116.job
c: \ windows \ Zadania \ At117.job
c: \ windows \ Zadania \ At118.job
c: \ windows \ Zadania \ At119.job
c: \ windows \ Tasks \ At12.job
c: \ windows \ Zadania \ At120.job
c: \ windows \ Tasks \ At13.job
c: \ windows \ Tasks \ At14.job
c: \ windows \ Tasks \ At15.job
c: \ windows \ Tasks \ At16.job
c: \ windows \ Tasks \ At17.job
c: \ windows \ Tasks \ At18.job
c: \ windows \ Tasks \ At19.job
c: \ windows \ Zadania \ At2.job
c: \ windows \ Tasks \ At20.job
c: \ windows \ Tasks \ At21.job
c: \ windows \ Tasks \ At22.job
c: \ windows \ Tasks \ At23.job
c: \ windows \ Tasks \ At24.job
c: \ windows \ Zadania \ At3.job
c: \ windows \ Zadania \ At4.job
c: \ windows \ Zadania \ At5.job
c: \ windows \ Zadania \ At6.job
c: \ windows \ Zadania \ At7.job
c: \ windows \ Zadania \ At8.job
c: \ windows \ Zadania \ At9.job
c: \ windows \ Tasks \ At97.job
c: \ windows \ Tasks \ At98.job
c: \ windows \ Tasks \ At99.job
.

((((((((((((((((((((((((((((((((((((((( Inne Skreślenia ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

c: \ windows \ SET25A.tmp
c: \ windows \ system32 \0LFlxR4x.exe
c: \ windows \ system32 \0LFlxR4x.exe.a_a
c: \ windows \ system32 \ fj8wNOvc.exe
c: \ windows \ Zadania \ At1.job
c: \ windows \ Tasks \ At10.job
c: \ windows \ Zadania \ At100.job
c: \ windows \ Zadania \ At101.job
c: \ windows \ Zadania \ At102.job
c: \ windows \ Zadania \ At103.job
c: \ windows \ Zadania \ At104.job
c: \ windows \ Zadania \ At105.job
c: \ windows \ Zadania \ At106.job
c: \ windows \ Zadania \ At107.job
c: \ windows \ Zadania \ At108.job
c: \ windows \ Zadania \ At109.job
c: \ windows \ Tasks \ At11.job
c: \ windows \ Zadania \ At110.job
c: \ windows \ Zadania \ At111.job
c: \ windows \ Zadania \ At112.job
c: \ windows \ Zadania \ At113.job
c: \ windows \ Zadania \ At114.job
c: \ windows \ Zadania \ At115.job
c: \ windows \ Zadania \ At116.job
c: \ windows \ Zadania \ At117.job
c: \ windows \ Zadania \ At118.job
c: \ windows \ Zadania \ At119.job
c: \ windows \ Tasks \ At12.job
c: \ windows \ Zadania \ At120.job
c: \ windows \ Tasks \ At13.job
c: \ windows \ Tasks \ At14.job
c: \ windows \ Tasks \ At15.job
c: \ windows \ Tasks \ At16.job
c: \ windows \ Tasks \ At17.job
c: \ windows \ Tasks \ At18.job
c: \ windows \ Tasks \ At19.job
c: \ windows \ Zadania \ At2.job
c: \ windows \ Tasks \ At20.job
c: \ windows \ Tasks \ At21.job
c: \ windows \ Tasks \ At22.job
c: \ windows \ Tasks \ At23.job
c: \ windows \ Tasks \ At24.job
c: \ windows \ Zadania \ At3.job
c: \ windows \ Zadania \ At4.job
c: \ windows \ Zadania \ At5.job
c: \ windows \ Zadania \ At6.job
c: \ windows \ Zadania \ At7.job
c: \ windows \ Zadania \ At8.job
c: \ windows \ Zadania \ At9.job
c: \ windows \ Tasks \ At97.job
c: \ windows \ Tasks \ At98.job
c: \ windows \ Tasks \ At99.job

.
((((((((((((((((((((((((( Pliki utworzone od 2008-10-12 do 2008-11-12 ))))))))))) ))))))))))))))))))))
.

2008-11-11 08:54. 2008-11-11 08:54 <DIR> d -------- C: \ Program Files \ Trend Micro
2008-11-11 08:38. 2008-11-11 08:38 578.560 - a - c --- C: \ Windows \ system32 \ dllcache \ user32.dll
2008-11-11 08:29. 2008-11-11 08:29 <DIR> d -------- c: \ windows \ ERUNT
2008-11-11 08:23. 2008-11-11 08:51 <DIR> d -------- C: \ SDFix
2008-10-31 18:00. 2008-10-31 18:00 <DIR> d -------- c: \ Documents and Settings \ NetworkService \ Dane aplikacji \ Yahoo!
2008-10-31 16:40. 2008-10-31 16:40 <DIR> d -------- c: \ Documents and Settings \ Administrator \ Dane aplikacji \ Yahoo!
2008-10-31 16:39. 2008-11-10 17:27 <DIR> d -------- C: \ Program Files \ Yahoo!
2008-10-29 17:23. 2008-10-29 17:23 <DIR> d -------- c: \ windows \ system32 \ CatRoot_bak
2008-10-29 17:23. 2008-09-08 03:41 333.824 ----- c --- C: \ Windows \ system32 \ dllcache \ Srv.sys
2008-10-29 17:23. 2008-06-13 04:05 272.128 ----- c --- C: \ Windows \ system32 \ dllcache \ bthport.sys
2008-10-29 17:23. 2008-08-14 03:04 138.496 ----- c --- C: \ Windows \ system32 \ dllcache \ afd.sys
2008-10-29 17:22. 2008-08-14 03:11 2.189.184 ----- c --- C: \ Windows \ system32 \ dllcache \ ntoskrnl.exe
2008-10-29 17:22. 2008-08-14 03:09 2.145.280 ----- c --- C: \ Windows \ system32 \ dllcache \ Ntkrnlmp.exe
2008-10-29 17:22. 2008-08-14 02:33 2.066.048 ----- c --- C: \ Windows \ system32 \ dllcache \ ntkrnlpa.exe
2008-10-29 17:22. 2008-08-14 02:33 2.023.936 ----- c --- C: \ Windows \ system32 \ dllcache \ Ntkrpamp.exe
2008-10-29 17:22. 2008-09-15 05:12 1.846.400 ----- c --- C: \ Windows \ system32 \ dllcache \ win32k.sys
2008-10-29 17:22. 2008-04-11 12:04 691.712 ----- c --- C: \ Windows \ system32 \ dllcache \ Inetcomm.dll
2008-10-29 17:22. 2008-05-08 07:02 203.136 ----- c --- C: \ Windows \ system32 \ dllcache \ rmcast.sys
2008-10-28 18:39. 2008-10-28 18:39 10 - a ------ c: \ windows \ Wininit.ini
2008-10-23 14:45. 2008-10-15 09:34 337.408 ----- c --- C: \ Windows \ system32 \ dllcache \ Netapi32.dll
2008-10-15 18:38. 2008-10-29 15:26 <DIR> d -------- c: \ windows \ system32 \ scripting
2008-10-15 18:38. 2008-10-29 15:26 <DIR> d -------- c: \ windows \ system32 \ pl
2008-10-15 18:38. 2008-10-29 15:26 <DIR> d -------- c: \ windows \ system32 \ bits
2008-10-15 18:38. 2008-10-29 15:26 <DIR> d -------- c: \ windows \ l2schemas
2008-10-15 18:23. 2006-09-23 14:12 1.022.976 - a ------ c: \ windows \ system32 \ SETA0B.tmp
2008-10-15 18:22. 2008-08-14 03:09 2.145.280 - a ------ c: \ windows \ system32 \ ntoskrnl.exe
2008-10-15 16:09. 2008-10-15 16:09 <DIR> d -------- c: \ Documents and Settings \ Administrator \ Dane aplikacji \ Motive

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 00:29 --------- d ----- wc: \ Program Files \ Symantec AntiVirus
2008-11-10 22:05 --------- d ----- wc: \ Program Files \ DivX
2008-11-10 22:03 --------- d ----- wc: \ Program Files \ Java
2008-11-10 01:37 --------- d ----- wc: \ Program Files \ Microsoft Plus! Digital Media Edition
2008-11-10 01:35 --------- d ----- wc: \ Program Files \ Microsoft Works
2008-11-08 02:37 90.112 ---- aw C: \ Windows \ DUMP3a98.tmp
2008-11-08 01:26 30 ---- aw C: \ Documents and Settings \ Administrator \ jagex_runescape_preferences. Dat
2008-10-29 22:11 --------- d - h - wc: \ Program Files \ InstallShield Installation Information
2008-10-29 22:11 --------- d ----- wc: \ Program Files \ ATI Technologies
2008-10-25 01:16 --------- d ----- wc: \ Documents and Settings \ Administrator \ Dane aplikacji \ Move Networks
2008-10-16 22:05 --------- d ----- wc: \ Documents and Settings \ All Users \ Dane aplikacji \ Viewpoint
2008-10-16 01:06 --------- d ----- wc: \ Program Files \ Google
2008-09-28 22:59 --------- d ----- wc: \ Program Files \ Common Files \ AOL
2008-09-22 21:29 --------- d ----- wc: \ Documents and Settings \ All Users \ Dane aplikacji \ AOL OCP
2008-09-22 21:29 --------- d ----- wc: \ Documents and Settings \ Administrator \ Dane aplikacji \ acccore
2008-09-22 21:27 --------- d ----- wc: \ Documents and Settings \ All Users \ Dane aplikacji \ AOL
2008-09-17 01:24 --------- d ----- wc: \ Documents and Settings \ Administrator \ Dane aplikacji \ VSO
2007-12-28 00:53 79.738 ---- aw C: \ Documents and Settings \ Fonts \ broken_ghost.zip
2007-11-23 01:25 81.920 ---- aw C: \ Documents and Settings \ Administrator \ Dane aplikacji \ ezpinst.exe
2007-11-23 01:25 47.360 ---- aw C: \ Documents and Settings \ Administrator \ Dane aplikacji \ pcouffin.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Uwaga * puste wpisy & legit domyślne wpisy nie są wyświetlane
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Run]
"ctfmon.exe" = "c: \ windows \ system32 \ ctfmon.exe" [2008-04-13 15360]
"Window Washer" = "C: \ Program Files \ Webroot \ Washer \ wwDisp.exe" [2005-03-08 910336]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"ehTray" = "c: \ windows \ ehome \ ehtray.exe" [2004-08-04 50176]
"hpsysdrv" = "c: \ windows \ system \ hpsysdrv.exe" [1998-05-07 52736]
"HotKeysCmds" = "c: \ windows \ system32 \ hkcmd.exe" [2003-10-02 118784]
"CamMonitor" = "C: \ Program Files \ HP \ Digital Imaging \ Unload \ HpqCmon.exe" [2002-10-07 90112]
"HPHmon05" = "c: \ windows \ system32 \ hphmon05.exe" [2003-05-23 483328]
"Kbd" = "c: \ HP \ kbd \ KBD.EXE" [2003-02-11 61440]
"TkBellExe" = "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe" [2003-12-17 151597]
"Recguard" = "c: \ windows \ SMINST \ RECGUARD.EXE" [2002-09-13 212992]
"PS2" = "c: \ windows \ system32 \ ps2.exe" [2002-10-16 81920]
"Sunkist2k" = "C: \ Program Files \ Multimedia Card Reader \ shwicon2k.exe" [2003-08-14 139264]
"ccApp" = "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" [2005-06-02 48752]
"vptray" = "c: \ Progra ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2005-06-23 85696]
"RemoteControl" = "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck" = "c: \ windows \ system32 \ NeroCheck.e XE" [2001-07-09 155648]
"GrooveMonitor" = "C: \ Program Files \ Microsoft Office \ Office12 \ groovemonitor.exe" [2006-10-27 31016]
"Adobe Reader Speed Launcher" = "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" [2007-10-10 39792]
"ATIModeChange" = "Ati2mdxx.exe" [2001-09-05 C: \ windows \ system32 \ Ati2mdxx.exe]
"LTMSG" = "LTMSG.exe" [2003-07-14 C: \ Windows \ ltmsg.exe]

[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"AdobeUpdater" = "C: \ Program Files \ Common Files \ Adobe \ Updater5 \ AdobeUpdater.exe" [2007-03-01 2321600]

c: \ Documents and Settings \ All Users \ Menu Start \ Programy \ Autostart \
Adobe Gamma Loader.lnk - C: \ Program Files \ Common Files \ Adobe \ Calibration \ Adobe Gamma Loader.exe [2007-11-22 113664]
HP Digital Imaging Monitor.lnk - C: \ Program Files \ HP \ Digital Imaging \ bin \ hpqtra08.exe [2003-09-16 237568]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Security Center \ Monitoring \ SymantecAntiVirus]
"DisableMonitoring" = dword: 00000001

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% windir% \ system32 \ \ Sessmgr.exe" =
"c: \ Program Files \ \ Updates HP \ \ 137903 \ \ Program \ \ BackWeb-137903.exe" =
"c: \ Program Files \ Microsoft Office \ \ Office12 \ Outlook.exe" =
"c: \ Program Files \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE" =
"c: \ Program Files \ Microsoft Office \ \ Office12 \ \ ONENOTE.EXE" =
"% windir% \ \ Network Diagnostic \ \ xpnetdiag.exe" =

R2 CX88XBAR; Conexant 2388x Crossbar Dual Input; c: \ windows \ system32 \ drivers \ CX88XBARDUAL.sys [2003-12-10 7040]
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - Rootkit / stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-11 17:26:59
Windows 5.1.2600 Service Pack 3 dla systemu plików NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych autostart entries ...

skanowanie ukrytych plików ...

skanowanie zakończone pomyślnie
ukryte pliki: 0

************************************************** ************************
.
------------------------ Pozostałe uruchomione procesy ----------------------- --
.
c: \ windows \ system32 \ ati2evxx.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccsetmgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Photodex \ ProShowGold \ ScsiAccess.EXE
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Updates HP \ 137903 \ Program \ BackWeb-137903.exe
c: \ windows \ system32 \ hpzipm12.exe
.
************************************************** ************************
.
Zakończenie czas: 2008-11-11 17:34:29 - został uruchomiony ponownie maszyny
ComboFix-kwarantannę-files.txt 2008-11-12 00:34:22
ComboFix2.txt 2008-11-11 18:47:44

Pre-Run: 89064681472 bytes wolny
Post-Run: 89055629312 bytes wolny

239 --- EOF --- 2008-10-30 03:01:59