Skocz do zawartości


Zdjęcie

[wirus]Jak usunąć pozostałości cv8j.exe i u0riu2.exe?


  • Zamknięty Temat jest zamknięty
14 odpowiedzi w tym temacie

#1 Krzychu25

Krzychu25

    Zaawansowany użytkownik

  • 1 045 postów

Napisano 27 07 2009 - 15:33

No więc złapałem od kolegi tego wirusa, wgrał się na wszystkie partycje i nie mogłem go usunąć antyvirusem, więc szybciutko włączyłem ubuntu i usunąłem problem. Wirusa nie ma ale zostały flaki, tzn. kiedy wchodzę w np. dysk C pokazuje mi się okienko którym programem mam to otworzyć, ale jeśli kliknę eksploruj to jest normalnie. Następny problem, nie mogę ustawić, aby były widoczne pliki ukryte. Kidy włączę tą opcję nic się nie dzieje, po następnym włączeniu dysku ta opcja jest odznaczona.

Nie jest to może jakieś straszne, ale bardzo denerwujące, proszę o pomoc.

  • 0

#2 brutus3

brutus3

    Profesjonalista

  • 2 406 postów

Napisano 27 07 2009 - 16:18

Rozumiem że masz dwa systemy to Windowsa wywal kasując i formatując partycję Linux-em ale przedtem spróbuj programem Spybot-Search&Destroy przeskanować komputer zwłaszcza chodzi o partycje sformatowaną pod system Windows, potem Odkurzaczem 11 wszystkimi opcjami a więc w opcji szybkiej potem w opcji podstawowej pliki potem klikniesz na gwiazdkę i tam klikniesz w spisie na szukanie zbędnych folderów potem na przeszukanie rejesterów. Za każdym razem po oczyszczeniu klikasz na ikone z kołem ratunkowym i wykasujesz raport i kopie.
W przypadku urzywania Nero w jednej z opcji przeszukiwania rejestrów pokaże ci pliki Nero do usunięcia jako zbędne tych plików nie usuwasz mają pozostać.

  • 0

#3 Macsch15

Macsch15

    Profesjonalista

  • 3 705 postów

Napisano 27 07 2009 - 17:35

Używasz może pendrive ? Jak tak to go podłącz i użyj programu
http://www.instalki.pl/programy/download/a...Disinfector.php


Ściągnij Combofixa ale go nie uruchamiaj !
Wklej do notatnika :

File::
C:\RavMonE.exe
F:\RavMonE.exe
H:\RavMonE.exe
I:\RavMonE.exe
G:\RavMonE.exe

Folder::
F:\Recycled
G:\Recycled
H:\Recycled
I:\Recycled
C:\Recycled

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e728e45-c67e-11db-8e47-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38a6ffa1-6a9c-11dc-9f5d-00c09f177a06}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45f35c71-5fb3-11dc-9f43-00c09f177a06}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45f35c72-5fb3-11dc-9f43-00c09f177a06}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45f35c73-5fb3-11dc-9f43-00c09f177a06}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98801500-616c-11dc-9f4f-00c09f177a06}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5c994d2-6d0d-11dc-9f61-00c09f177a06}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a6f5fc41-556d-11dc-9f40-00c09f177a06}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c54998d2-7dae-11dc-9f87-00c09f177a06}]


Plik zapisz na pulpicie pod nazwa CFScript.txt i przeciagnij na ikone combofix.exe, po uzyciu daj log z combofix.

Jeśli dalej nie będzie działać to
Start >> Uruchom >> regsvr32 /i shell32.dll
Restart

nie mogę ustawić, aby były widoczne pliki ukryte


Wraz z użyciem CF problem powinien zniknąć.
  • 0

#4 Krzychu25

Krzychu25

    Zaawansowany użytkownik

  • 1 045 postów

Napisano 27 07 2009 - 22:12

brutus3 ja wirusa już nie mam, bo usunąłem jego pliki Linuxem, więc to byłyby przesadne kroki.

macsch15 co się stanie po zrobieniu tego co każesz?
  • 0

#5 Macsch15

Macsch15

    Profesjonalista

  • 3 705 postów

Napisano 28 07 2009 - 00:03

Masz pewnie pozostałości po infekcji z pendrive
Czyli na dysku plik autorun.inf który uniemożliwia otwarcie dysku poprzez dwuklik.

Korespondującym zapisem do pliku autorun.inf jest tworzenie wpisów w rejestrze w kluczu:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Jest to klucz mapowania wszystkich dysków cechujący akcje. Szkodniki dodają swoje zapisy, które powodują że konkretna akcja Autoodtwarzania staje się domyślną akcją dla dysków. Szkodnik może zmodyfikować akcję Otwórz i Eksploruj.

Poprzez wykonanie i uruchomienia skryptu do CF infekcja powinna być usunięta.
  • 0

#6 brutus3

brutus3

    Profesjonalista

  • 2 406 postów

Napisano 28 07 2009 - 09:44

Mi nie chodziło o samego wirusa ale jego pozostałości, wywnioskowałem to po tym jak napisałeś że po zastosowaniu Ubuntu system Windows dalej odczytywał resztki jakie się schowały w systemie. Czyli z twej wypowiedzi był taki wniosek skanowałeś dysk ale nie sam system Windowsa i tu był pies pogrzebany. Dlatego podałem ci abyś jeszcze raz pod systemem Windowsa programem S-S&D przeskanował dyski i pliki na partycji systemowej Windowsa potem użył Odkurzacza a na końcu jeśli dalej byś to miał to kasowanie o format partycji systemowej.
widzisz kolega ci podaje zasadę i sposób działania szkodnika który w momencie uruchomienia/inicjacji systemu opcja auto run uruchamia szczątkowe pliki jakie zostały po wirusie. Odkurzacz by ci to wyeliminował nawet jeśli okazało by się ze plik jest zablokowany.
  • 0

#7 Krzychu25

Krzychu25

    Zaawansowany użytkownik

  • 1 045 postów

Napisano 28 07 2009 - 11:22

Usunąłem przez ubuntu ten plik autorun.inf i dyski włączają się normalnie. Paskudna żmija skopiowała się na wszystkie dyski. A tych wpisów
C:\RavMonE.exe
F:\RavMonE.exe
H:\RavMonE.exe
I:\RavMonE.exe
G:\RavMonE.exe
nie mam zmienić na moje partycje? Bo mam tylko c,e,f.

Teraz jeszcze zostało to, że nie mogę włączyć pokazywania plików ukrytych.
  • 0

#8 Macsch15

Macsch15

    Profesjonalista

  • 3 705 postów

Napisano 28 07 2009 - 12:36

Nie usuwaj tego ręcznie tylko uruchom ze skryptu CF.
  • 0

#9 Krzychu25

Krzychu25

    Zaawansowany użytkownik

  • 1 045 postów

Napisano 28 07 2009 - 13:00

A pozmieniać nazwy partycji?
  • 0

#10 Macsch15

Macsch15

    Profesjonalista

  • 3 705 postów

Napisano 28 07 2009 - 13:06

Nie, wklej i przeciągnij na CF taki jaki jest. :mad:
  • 0

#11 Krzychu25

Krzychu25

    Zaawansowany użytkownik

  • 1 045 postów

Napisano 28 07 2009 - 14:02

Zrobiłem tak jak kazałeś, nie wiem dokładnie co się działo, bo musiałem opuścić pokój.
Oto log z niego:
CODE-BOX
ComboFix 09-07-27.04 - Puczkarscy 2009-07-28 13:58.1.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.3326.2676 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Puczkarscy\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Puczkarscy\Pulpit\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090727-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Utworzono nowy punkt przywracania
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Mozilla Firefox\plugins\NPMyGlSh.dll
c:\program files\myglobalsearch
c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR
c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST
c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR
c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST
c:\program files\myglobalsearch\bar\1.bin\M9PLUGIN.DLL
c:\program files\myglobalsearch\bar\1.bin\NPMYGLSH.DLL
c:\program files\myglobalsearch\bar\Cache\001F049C.bin
c:\program files\myglobalsearch\bar\Cache\001F06BF.bin
c:\program files\myglobalsearch\bar\Cache\001F08E2.bin
c:\program files\myglobalsearch\bar\Cache\01730AE0
c:\program files\myglobalsearch\bar\Cache\files.ini
c:\program files\myglobalsearch\bar\History\search
c:\program files\myglobalsearch\bar\Settings\prevcfg.htm
c:\windows\Installer\907c9.msi

.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AVPSYS


((((((((((((((((((((((((( Pliki utworzone od 2009-06-28 do 2009-07-28 )))))))))))))))))))))))))))))))
.

2009-07-28 12:02 . 2009-07-28 12:02 -------- d-----w- c:\windows\system32\xircom
2009-07-28 12:02 . 2009-07-28 12:02 -------- d-----w- c:\windows\system32\wbem\snmp
2009-07-28 12:02 . 2009-07-28 12:02 -------- d-----w- c:\windows\srchasst
2009-07-27 09:28 . 2009-07-27 09:44 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\PrevxCSI
2009-07-27 09:15 . 2009-07-27 09:16 -------- d-----w- c:\program files\SkanerOnline
2009-07-26 14:06 . 2009-07-26 14:06 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Apple Computer
2009-07-25 16:18 . 2009-07-25 16:18 -------- d-----w- c:\program files\QuickTime
2009-07-25 09:27 . 2009-07-25 12:02 -------- d-----w- c:\documents and settings\Puczkarscy\DoctorWeb
2009-07-25 09:15 . 2009-07-25 09:15 -------- d-----w- c:\program files\Trend Micro
2009-07-22 12:41 . 2009-07-22 12:41 -------- d-----w- c:\documents and settings\Puczkarscy\Dane aplikacji\Ahead
2009-07-20 22:35 . 2009-07-20 22:35 -------- d-----w- c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Google
2009-07-20 17:23 . 2009-07-20 23:24 -------- d-----w- c:\documents and settings\Puczkarscy\Ustawienia lokalne\Dane aplikacji\Temp
2009-07-20 17:05 . 2009-07-20 17:05 -------- d-----w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\Google
2009-07-20 17:03 . 2009-07-20 17:15 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Google Updater
2009-07-20 08:13 . 2009-07-20 08:13 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-07-20 07:01 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-07-19 14:14 . 2009-07-19 14:14 -------- d-----w- c:\program files\Microsoft Silverlight
2009-07-17 14:00 . 2009-07-17 14:00 -------- d-----w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\NVIDIA Corporation
2009-07-17 14:00 . 2009-07-17 14:13 -------- d-----w- c:\documents and settings\Puczkarscy\Ustawienia lokalne\Dane aplikacji\NVIDIA Corporation
2009-07-17 13:58 . 2009-07-17 17:56 -------- d-----w- c:\program files\AGEIA Technologies
2009-07-17 13:58 . 2009-07-17 13:58 -------- d-----w- c:\windows\system32\AGEIA
2009-07-17 13:58 . 2009-07-17 14:01 -------- d-----w- c:\program files\NVIDIA Corporation
2009-07-17 13:58 . 2009-07-17 13:58 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\NVIDIA Corporation
2009-07-17 13:57 . 2009-07-14 09:54 485920 ----a-w- c:\windows\system32\nvudisp.exe
2009-07-17 13:57 . 2009-07-10 05:01 485920 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-07-14 11:34 . 2009-07-14 11:34 86016 ----a-w- c:\windows\system32\nvmctray.dll
2009-07-14 11:34 . 2009-07-14 11:34 8085504 ----a-w- c:\windows\system32\nvdispsr.dll
2009-07-14 11:34 . 2009-07-14 11:34 4923392 ----a-w- c:\windows\system32\nvdisps.dll
2009-07-14 11:34 . 2009-07-14 11:34 4640768 ----a-w- c:\windows\system32\nvgamesr.dll
2009-07-14 11:34 . 2009-07-14 11:34 458752 ----a-w- c:\windows\system32\nvmccssr.dll
2009-07-14 11:34 . 2009-07-14 11:34 3547136 ----a-w- c:\windows\system32\nvgames.dll
2009-07-14 11:34 . 2009-07-14 11:34 2854912 ----a-w- c:\windows\system32\nvmoblsr.dll
2009-07-14 11:34 . 2009-07-14 11:34 188416 ----a-w- c:\windows\system32\nvmccss.dll
2009-07-14 11:34 . 2009-07-14 11:34 168004 ----a-w- c:\windows\system32\nvsvc32.exe
2009-07-14 11:34 . 2009-07-14 11:34 143360 ----a-w- c:\windows\system32\nvcolor.exe
2009-07-14 11:34 . 2009-07-14 11:34 13877248 ----a-w- c:\windows\system32\nvcpl.dll
2009-07-14 11:34 . 2009-07-14 11:34 1286144 ----a-w- c:\windows\system32\nvmobls.dll
2009-07-14 11:34 . 2009-07-14 11:34 229376 ----a-w- c:\windows\system32\nvmccs.dll
2009-07-14 10:15 . 2009-07-23 15:29 -------- d-----w- c:\program files\nLite
2009-07-14 10:09 . 2009-07-14 10:09 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2009-07-14 09:54 . 2009-07-14 09:54 868352 ----a-w- c:\windows\system32\nvapi.dll
2009-07-14 09:54 . 2009-07-14 09:54 7741664 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2009-07-14 09:54 . 2009-07-14 09:54 5842816 ----a-w- c:\windows\system32\nv4_disp.dll
2009-07-14 09:54 . 2009-07-14 09:54 2189856 ----a-w- c:\windows\system32\nvcuvid.dll
2009-07-14 09:54 . 2009-07-14 09:54 2002944 ----a-w- c:\windows\system32\nvcuda.dll
2009-07-14 09:54 . 2009-07-14 09:54 1706528 ----a-w- c:\windows\system32\nvcuvenc.dll
2009-07-14 09:54 . 2009-07-14 09:54 1597690 ----a-w- c:\windows\system32\nvdata.bin
2009-07-14 09:54 . 2009-07-14 09:54 151552 ----a-w- c:\windows\system32\nvcodins.dll
2009-07-14 09:54 . 2009-07-14 09:54 151552 ----a-w- c:\windows\system32\nvcod.dll
2009-07-14 09:54 . 2009-07-14 09:54 10457088 ----a-w- c:\windows\system32\nvoglnt.dll
2009-07-14 09:19 . 2009-07-14 09:19 42088 ----a-w- c:\documents and settings\Puczkarscy\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll
2009-07-14 08:40 . 2009-07-14 08:40 11264 ----a-w- c:\documents and settings\Puczkarscy\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dll
2009-07-14 07:07 . 2009-07-14 07:08 -------- d-----w- c:\documents and settings\Puczkarscy\Dane aplikacji\TrueCrypt
2009-07-14 07:02 . 2009-07-14 07:02 -------- d-----w- c:\program files\XP Codec Pack
2009-07-14 06:54 . 2009-05-30 07:48 45056 ----a-w- c:\windows\Sim AQUARIUM 2.scr
2009-07-14 06:51 . 2009-07-14 06:51 217536 ----a-w- c:\windows\system32\drivers\truecrypt.sys
2009-07-14 06:51 . 2009-07-14 06:51 -------- d-----w- c:\program files\TrueCrypt
2009-07-11 10:52 . 2009-07-11 10:52 -------- d-----w- c:\documents and settings\Puczkarscy\Dane aplikacji\New Technology Studio
2009-07-04 10:16 . 2005-01-01 00:43 4682 ----a-w- c:\windows\system32\npptNT2.sys
2009-07-04 10:16 . 2009-07-04 10:16 -------- d-----w- c:\program files\Common Files\INCA Shared
2009-07-02 06:21 . 2009-03-26 23:16 12672 ----a-w- c:\windows\system32\drivers\cpuz132_x32.sys
2009-07-02 06:21 . 2009-07-02 06:21 -------- d-----w- c:\program files\CPUID
2009-07-01 12:35 . 2009-07-17 17:56 -------- d-----w- c:\program files\Advanced Registry Doctor
2009-07-01 12:35 . 2009-07-25 13:04 -------- d-----w- c:\program files\Premium Booster

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-28 12:03 . 2009-02-24 21:48 -------- d-----w- c:\documents and settings\Puczkarscy\Dane aplikacji\uTorrent
2009-07-28 12:02 . 2009-02-25 18:18 -------- d---a-w- c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-07-28 12:02 . 2009-02-24 19:03 16608 ----a-w- c:\windows\gdrv.sys
2009-07-28 12:02 . 2009-07-28 12:02 -------- d-----w- c:\program files\microsoft frontpage
2009-07-28 12:00 . 2009-04-06 02:23 2282792 ----a-w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat
2009-07-27 21:08 . 2009-02-25 17:59 -------- d-----w- c:\program files\SpeedFan
2009-07-25 17:28 . 2009-05-16 14:20 -------- d-----w- c:\program files\Kliper
2009-07-25 14:44 . 2009-02-24 19:03 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-25 14:43 . 2009-04-19 18:15 -------- d-----w- c:\program files\eMule
2009-07-25 14:41 . 2009-05-02 10:58 -------- d-----w- c:\program files\Desktop Sidebar
2009-07-25 14:37 . 2009-05-02 10:59 -------- d-----w- c:\documents and settings\Puczkarscy\Dane aplikacji\Desktop Sidebar
2009-07-25 14:23 . 2009-06-04 14:51 -------- d-----w- c:\documents and settings\Puczkarscy\Dane aplikacji\dvdcss
2009-07-21 15:44 . 2009-04-05 20:25 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-07-20 17:07 . 2009-06-25 19:08 -------- d-----w- c:\program files\Google
2009-07-20 09:55 . 2009-02-26 09:04 -------- d-----w- c:\documents and settings\Puczkarscy\Dane aplikacji\DAEMON Tools Pro
2009-07-20 09:49 . 2008-04-15 11:00 99752 ----a-w- c:\windows\system32\perfc015.dat
2009-07-20 09:49 . 2008-04-15 11:00 527550 ----a-w- c:\windows\system32\perfh015.dat
2009-07-20 08:13 . 2009-02-25 10:00 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Microsoft Help
2009-07-17 13:58 . 2009-02-24 19:15 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-07-16 16:18 . 2009-03-01 17:52 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-07-16 16:18 . 2009-03-01 17:51 103736 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-07-16 16:09 . 2009-03-01 17:51 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-07-16 05:11 . 2009-02-24 18:51 -------- d-----w- c:\program files\Winamp
2009-07-14 14:31 . 2009-02-25 17:24 -------- d-----w- c:\program files\Nowe Gadu-Gadu
2009-07-14 10:10 . 2009-02-26 09:01 -------- d-----w- c:\documents and settings\Puczkarscy\Dane aplikacji\DAEMON Tools Lite
2009-07-14 10:06 . 2009-02-26 09:01 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-13 16:21 . 2009-03-01 17:52 22328 ----a-w- c:\documents and settings\Puczkarscy\Dane aplikacji\PnkBstrK.sys
2009-07-13 16:21 . 2009-03-01 17:52 22328 ----a-w- c:\documents and settings\Puczkarscy\Dane aplikacji\PnkBstrK.sys
2009-06-23 12:15 . 2009-04-07 11:59 17488 ----a-w- c:\windows\etdrv.sys
2009-06-23 12:14 . 2009-04-07 09:40 24944 ----a-w- c:\windows\system32\drivers\GVTDrv.sys
2009-06-20 09:54 . 2009-06-18 11:39 -------- d-----w- c:\program files\Driver Sweeper
2009-06-16 14:40 . 2008-04-15 11:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:40 . 2008-04-15 11:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 09:41 . 2009-06-15 09:41 55256 ---ha-w- c:\windows\system32\mlfcache.dat
2009-06-15 09:41 . 2009-06-15 09:41 -------- d-----w- c:\documents and settings\Puczkarscy\Dane aplikacji\Apple Computer
2009-06-15 09:41 . 2009-06-15 09:41 -------- d-----w- c:\program files\Bonjour
2009-06-15 09:41 . 2009-06-15 09:41 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Apple
2009-06-14 18:32 . 2009-06-14 18:32 -------- d-----w- c:\program files\OO Software
2009-06-12 06:15 . 2009-06-12 06:14 -------- d-----w- c:\program files\Paint.NET
2009-06-10 08:25 . 2009-04-20 15:29 -------- d-----w- c:\program files\Windows Desktop Search
2009-06-06 15:11 . 2009-04-06 08:49 8896 ----a-w- c:\windows\system32\ealregsnapshot1.reg
2009-06-03 20:19 . 2009-03-06 13:32 -------- d-----w- c:\program files\NAPI-PROJEKT
2009-06-03 19:11 . 2009-02-02 15:06 1294848 ----a-w- c:\windows\system32\quartz.dll
2009-05-30 10:26 . 2009-05-30 10:26 10134 ----a-r- c:\documents and settings\Puczkarscy\Dane aplikacji\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-05-30 10:26 . 2009-05-30 10:26 -------- d-----w- c:\program files\Microsoft WSE
2009-05-26 13:40 . 2009-05-26 13:39 390424 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Tunebite\AutoTag\lyrics\LyricsFreak.dll
2009-05-26 13:39 . 2009-05-26 13:39 394520 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Tunebite\AutoTag\lyrics\LyricsOnDemand.dll
2009-05-26 13:39 . 2009-05-26 13:39 394520 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Radiotracker4\lyrics\LyricsOnDemand.dll
2009-05-26 13:39 . 2009-05-26 13:38 394520 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Tunebite\AutoTag\lyrics\AstraLyrics.dll
2009-05-26 13:39 . 2009-05-26 13:38 394520 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Radiotracker4\lyrics\AstraLyrics.dll
2009-05-26 13:38 . 2009-05-26 13:38 394520 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Tunebite\AutoTag\lyrics\LyricsDemon.dll
2009-05-26 13:38 . 2009-05-26 13:38 427288 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Tunebite\AutoTag\general\yahoomusic.dll
2009-05-26 13:38 . 2009-05-26 13:38 394520 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Radiotracker4\lyrics\LyricsDemon.dll
2009-05-26 13:38 . 2009-05-26 13:38 427288 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Tunebite\AutoTag\general\aol.dll
2009-05-26 13:38 . 2009-05-26 13:37 427288 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Radiotracker4\general\yahoomusic.dll
2009-05-26 13:38 . 2009-05-26 13:37 419096 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Tunebite\AutoTag\general\allmusic.dll
2009-05-26 13:37 . 2009-05-26 13:37 427288 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Radiotracker4\general\aol.dll
2009-05-26 13:37 . 2009-05-26 13:37 419096 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Radiotracker4\general\allmusic.dll
2009-05-26 13:37 . 2009-05-26 13:37 427288 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Tunebite\AutoTag\general\musicline.dll
2009-05-26 13:37 . 2009-05-26 13:36 427288 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Tunebite\AutoTag\general\sonybmg.dll
2009-05-26 13:37 . 2009-05-26 13:36 427288 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Radiotracker4\general\musicline.dll
2009-05-26 13:36 . 2009-05-26 13:36 427288 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Radiotracker4\general\sonybmg.dll
2009-05-26 13:36 . 2009-05-26 13:35 480536 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Tunebite\AutoTag\general\amazon.dll
2009-05-26 13:36 . 2009-05-26 13:35 480536 ----a-w- c:\documents and settings\All Users\Dane aplikacji\RapidSolution\Radiotracker4\general\amazon.dll
2009-05-24 22:24 . 2008-05-26 20:18 350208 ------w- c:\windows\system32\mssph.dll
2009-05-17 13:04 . 2009-05-17 13:04 99200 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\sm\sminstlp.exe
2009-05-17 13:04 . 2009-05-17 13:03 1895720 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\waol-0.4334.34.14.exe
2009-05-17 13:03 . 2009-05-17 13:03 142040 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\aolload\alsetup.exe
2009-05-17 13:03 . 2009-05-17 13:02 8139800 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\acs\acssetup.exe
2009-05-17 13:02 . 2009-05-17 13:02 11312 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\acs\ecuchk.dll
2009-05-17 13:02 . 2009-05-17 13:02 260040 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\acs\ecuinst.exe
2009-05-17 13:02 . 2009-05-17 13:02 601728 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\unagi\ampx.english.exe
2009-05-17 13:02 . 2009-05-17 13:02 67120 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\ccu\instSup.dll
2009-05-17 13:02 . 2009-05-17 13:02 10800 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\afix\wsfixchk.dll
2009-05-17 13:02 . 2009-05-17 13:02 15920 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\ccu\ocpchk.dll
2009-05-17 13:02 . 2009-05-17 13:02 355592 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\afix\afixinst.exe
2009-05-17 13:02 . 2009-05-17 13:02 54832 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\parcon\AOLParconLink.exe
2009-05-17 13:02 . 2009-05-17 13:02 607392 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\tpspd\wbsetup.exe
2009-05-17 13:02 . 2009-05-17 13:02 2100784 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\toolbar\aol_toolbar_dual.exe
2009-05-17 13:02 . 2009-05-17 13:02 127224 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\afix\afixlang.exe
2009-05-17 13:02 . 2009-05-17 13:01 2439824 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\ccu\ocpinsti.exe
2009-05-17 13:01 . 2009-05-17 13:01 711520 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\sysinfo\SinfInst.exe
2009-05-17 13:01 . 2009-05-17 13:01 62816 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\ocp\ocpgc.exe
2009-05-17 13:01 . 2009-05-17 12:57 35387072 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\noneCodesignFilesBundle.exe
2009-05-17 12:57 . 2009-05-17 12:57 359184 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\tb\tbsetup.exe
2009-05-17 12:57 . 2009-05-17 12:57 75104 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\ocp\instSup.dll
2009-05-17 12:57 . 2009-05-17 12:57 223152 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\afix\wsfinst.exe
2009-05-17 12:57 . 2009-05-17 12:57 175224 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\sm\stmninst.exe
2009-05-17 12:57 . 2009-05-17 12:56 1475416 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\ocp\ocpinst.exe
2009-05-17 12:56 . 2009-05-17 12:56 15712 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\ocp\ocpchk.dll
2009-05-17 12:56 . 2009-05-17 12:56 390704 ----a-w- c:\documents and settings\All Users\Dane aplikacji\AOL Downloads\waol\0.4334.34.14\comps\afix\WinsockFix.exe
2009-05-17 12:56 . 2009-02-24 19:21 335 ----a-w- c:\windows\nsreg.dat
2009-05-13 05:46 . 2009-03-06 13:34 892928 ----a-w- c:\windows\system32\iconv.dll
2009-05-13 05:46 . 2009-03-06 13:34 237568 ----a-w- c:\windows\system32\OggDS.dll
2009-05-13 05:46 . 2009-03-06 13:34 921600 ----a-w- c:\windows\system32\vorbisenc.dll
2009-05-13 05:46 . 2009-03-06 13:34 188416 ----a-w- c:\windows\system32\vorbis.dll
2009-05-13 05:46 . 2009-03-06 13:34 45056 ----a-w- c:\windows\system32\ogg.dll
2009-05-13 05:46 . 2009-03-06 13:34 1415680 ----a-w- c:\windows\system32\WMV9VCM.dll
2009-05-13 05:46 . 2009-03-06 13:34 245760 ----a-w- c:\windows\system32\mplvpx.dll
2009-05-13 05:46 . 2009-03-06 13:34 9216 ----a-w- c:\windows\system32\cpuinf32.dll
2009-07-17 09:20 . 2009-02-24 18:50 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
.

------- Sigcheck -------

[-] 2009-02-02 15:08 518144 D8824DEDA13325504943129EE394F538 c:\windows\system32\user32.dll

[-] 2009-02-02 01:11 361600 1F39C7BDBA4C5F3F01C4EABF7EDBF4B3 c:\windows\system32\drivers\tcpip.sys

[-] 2009-02-02 15:08 571904 8E7D194E90785C22A61AEC1F66D5DEA0 c:\windows\system32\winlogon.exe

[-] 2009-01-26 00:23 1891328 D2AA6D06CFF82F21A7294448D785C64D c:\windows\explorer.exe

[-] 2009-02-02 15:02 37888 399E8AA327066D1336F8FB28BBC216A0 c:\windows\system32\ctfmon.exe

[-] 2009-02-02 15:02 1474560 AAF68387FC8CE8F0ADE8D242064DE1B7 c:\windows\system32\comres.dll

[-] 2009-02-02 15:02 662528 97E18DDA3AC03D676326C697A5F91375 c:\windows\system32\comctl32.dll
[7] 2008-04-15 11:00 921088 AEF3D788DBF40C7C4D204EA45EB0C505 c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
[7] 2008-04-15 11:00 1054208 737739FACEAD60683AA8D7FF7602FD14 c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-02-02 37888]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
"VistaDrive"="c:\windows\VistaDrive\VistaDrive.exe" [2006-10-05 280779]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-05-01 15872]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2009-04-07 2553088]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2009-07-08 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-07-14 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"LogonStudio"="c:\program files\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 987187]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SoundMan.exe [2008-06-18 77824]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-06-27 16875008]
"AlcWzrd"="ALCWZRD.EXE" - c:\windows\alcwzrd.exe [2008-06-19 2808832]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-02-02 37888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2009-03-08 128512]

c:\documents and settings\Puczkarscy\Menu Start\Programy\Autostart\
uTorrent.lnk - c:\program files\uTorrent\uTorrent.exe [2009-2-24 288048]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]
HP Image Zone - szybkie uruchamianie.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-12 73728]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\windows\system32\logonuiX.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"e:\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"e:\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"e:\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"e:\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
"e:\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"e:\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\Codemasters\\GRID\\GRID.exe"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\GIGABYTE\\EnergySaver\\run.exe"=
"e:\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"e:\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"e:\\Electronic Arts\\Battlefield 2142 Deluxe Edition\\BF2142.exe"=
"e:\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"e:\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"e:\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"e:\\EA Games\\Mirror's Edge\\Binaries\\MirrorsEdge.exe"=
"c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\ALLPlayer\\ALLPlayer.exe"=
"e:\\Electronic Arts\\Burnout™ Paradise The Ultimate Box\\BurnoutLauncher.exe"=
"e:\\Electronic Arts\\Burnout™ Paradise The Ultimate Box\\BurnoutConfigTool.exe"=
"e:\\Electronic Arts\\Burnout™ Paradise The Ultimate Box\\BurnoutParadise.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"e:\\Dead Space\\Dead Space.exe"=
"e:\\Activision\\Prototype\\prototypef.exe"=
"e:\\Counter-Strike Source\\hl2.exe"=
"e:\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"e:\\Counter-strike\\hl.exe"=
"e:\\Counter-strike\\hltv.exe"=

R0 BootScreen;BootScreen;\SystemRoot\\SystemRoot\System32\drivers\vidstub.sys --> \SystemRoot\\SystemRoot\System32\drivers\vidstub.sys [?]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-03-20 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-03-20 20560]
R2 GEST Service;GEST Service for program management.;c:\program files\GIGABYTE\EnergySaver\GSvr.exe [2009-02-24 80392]
R2 HDDlife HDD Access service;HDDlife HDD Access service;c:\program files\Common Files\BinarySense\hldasvc.exe [2008-02-15 832760]
R2 VideoAcceleratorService;VideoAcceleratorService;c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe -start -scm --> c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe -start -scm [?]
R3 nvoclock;NVIDIA Enthusiasts Platform KDM;c:\windows\system32\drivers\nvoclock.sys [2009-03-09 38304]
S2 gupdate1ca095c4446fe68;Usługa Google Update (gupdate1ca095c4446fe68);c:\program files\Google\Update\GoogleUpdate.exe [2009-07-20 133104]
S3 AODDriver;AODDriver;\??\c:\program files\GIGABYTE\ET6\i386\AODDriver.sys --> c:\program files\GIGABYTE\ET6\i386\AODDriver.sys [?]
S3 cpuz132;cpuz132;c:\windows\system32\drivers\cpuz132_x32.sys [2009-07-02 12672]
S3 etdrv;etdrv;c:\windows\etdrv.sys [2009-04-07 17488]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
Zawartość folderu 'Zaplanowane zadania'

2009-07-28 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-25 17:03]

2009-07-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-20 17:05]

2009-07-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-20 17:05]
.
- - - - USUNIĘTO PUSTE WPISY - - - -

HKU-Default-Run-RocketDock - c:\program files\RocketDock\RocketDock.exe


.
------- Skan uzupełniający -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\progra~1\SPEEDB~1\sblsp.dll
Handler: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - c:\program files\Common Files\BinarySense\hlAPP.dll
FF - ProfilePath - c:\documents and settings\Puczkarscy\Dane aplikacji\Mozilla\Firefox\Profiles\cohexeoy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.aol.com/aolcom/search?invocationType=tb50ffTB50CLie7&query=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/
FF - prefs.js: keyword.URL - hxxp://search.aol.com/aolcom/search?invocationType=tb50ffTB50CLab&query=
FF - plugin: c:\documents and settings\Puczkarscy\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npunagi2.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: e:\programy\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX - SPOSÓB POSTĘPOWANIA ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-28 14:02
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_USERS\S-1-5-21-448539723-776561741-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Clsid]
@Denied: (Full) (LocalSystem)

[HKEY_USERS\S-1-5-21-448539723-776561741-1801674531-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:ae,bb,c3,d3,94,16,08,7d,61,8a,e6,ff,88,26,0e,60,75,a3,c2,f5,6f,a6,f3,
d8,8b,91,67,81,53,a6,6e,85,28,5a,03,87,20,2e,83,6f,2c,5d,cc,46,89,09,75,40,\
"??"=hex:3f,eb,b2,a8,d5,51,4b,c2,1b,01,ec,08,0f,18,11,95

[HKEY_USERS\S-1-5-21-448539723-776561741-1801674531-1004\Software\SecuROM\License information*]
"datasecu"=hex:55,c0,f2,5d,a6,98,1e,6b,cb,38,8c,e5,c9,98,82,d3,39,7d,6c,89,fa,
2d,0b,40,77,ca,cf,6b,0c,80,38,89,41,f9,c9,d7,30,19,ef,ef,32,02,d5,73,00,d1,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="52C278164487E37646024756792BE1C7F5113CC062DBBEAED589073BFDAC343D7EB52159830
838D7E25BDCB6E93019F29ADD05197B7D9F1941AE086474824AD05A0F3A5E39EA8DBF509C22C614B
8
B02C7D38D7B80ECCB1CBC730F25FCA3BB8DBC94208FB827A240C8BF03B387C571CC2D21FDACEA63C
3
6A1F7FE0D7938CFB3E5D3D892BB6055C015B51591748C6DCBF8F4A3F6C03A96F2E8062461B5570EF
0
EB24ECA3DE36EE2823935A4F9592B3BC82E16CD8271EF732E3C6B9BCC7A7172BDC8D314A54CE8CA8
7
28E26E5EA3FB5680CBAB3F0CE8CD1C0CA36F0B2998E61201E01685A45534A91B3B270097928D2503
2
FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C
F
EBC9E127BECC74CA6A0AC4980AC79335D575E7D6A3B98089DB7CE019D40AA5C5D575E7D6A3B9808B
F
18BD040C3B13DD36B64425FDFA364AEE109F8AEEB23242CCFCC63EE7473CE7B658026F529387E351
C
CF2C77D55E6214FF6398D2B7A675845561C1CB5BB136E170CCBA341FEAE1E73EBAFC0819592F5DBD
E
456184C3922842900BF6A096729FAEF0057CDB0E6F73808746CAF41553A0B18D11BCF24B1C15B8E5
0
425499BB38DEBD75E0E0B28B5C40023C5562A7DC4EA14DC2C8DCD9FF175C5A5B82FB160B53BE3244
A
1E9A08F05FA1580486D7CF0811E73BEDF456270794A7B31ED2C14D5B9F4D4D7FA8BB3D158AB4D398
3
295DFC047B62C6DC4AC9A5031C1066F8145230BA88562F85A02A919FDAED85E6662D59A32AFC3890
8
D88647FE992AAAE1EA70AF348B80F696E505F96828BA76619D2D3E6DA3ADE17BC3CAE9A45B3D914C
4
61C379983DDFBF24459B669DDE345960FB45E850928DC0DBD9EB83E55732ACF50E0951D35414FBBD
D
855295B151732FDE11307CF906A3E378883B587A94BF2B614B41FC0C09FB6ED6BCD5F6A614EB059A
3
AEBC8B32B22D689667AF7E2FADF563B3EB3E81924D03DB6054B0BE6525FA7B37B4CD418140AF3EB6
8
03144795DB7A016E6C050F96E18F6AB943C140C3C15C7E7595FDADCED17AFD13E69787E84AF3B8E5
6
DE74679067FC30A5100A136CB97369A89971E7D305F82C0BD60A78B0655CF033EA03B79D75B74F60
D
A0A00C78877834F066B65625CB1F1C9D42CC292DE41377E82C8CD537A697D9136EF6B9898B44DC1B
A
46BA3EF1A5EA728054301A09939C77C0080624696A7DA01AB814882B68084D47F4FC2955D2F37FA6
1
7966082357500C04FB896C95857B7B8D3FD4AACF76EE761B9DA6DF5963743F0A81BFCD62683CAC93
8
D45D644F50CAB3CD7918F52D3B4550C3556DC86B25A1D9E93091E6DCD8EF900E22772F2A1B4B9D49
2
43806F2AC0515C176BDB11B53C41B70A51EB8DC99C138CD152F129947059E85C431209ED54C88A68
9
372D86BBCDE60E3BCED3F04101AF0"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(840)
c:\windows\system32\setupapi.dll
c:\windows\system32\scecli.dll
c:\progra~1\SPEEDB~1\sblsp.dll
c:\program files\SpeedBit Video Accelerator\ConfigDB.dll
c:\program files\SpeedBit Video Accelerator\Accelerator.dll
c:\windows\system32\WININET.dll
c:\program files\SpeedBit Video Accelerator\CommPipe.dll
c:\program files\SpeedBit Video Accelerator\Collector.dll
c:\program files\Bonjour\mdnsNSP.dll

- - - - - - - > 'explorer.exe'(5064)
c:\windows\system32\SHDOCVW.dll
c:\windows\system32\WININET.dll
c:\program files\Unlocker\UnlockerHook.dll
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\LINKINFO.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\msi.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\stobject.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\NVIDIA Corporation\nTune\nTuneService.exe
c:\windows\system32\oodag.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\Advanced Registry Doctor\RegManServ.exe
c:\program files\NVIDIA Corporation\System Update\UpdateCenterService.exe
c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe
c:\windows\system32\searchindexer.exe
c:\progra~1\SPEEDB~1\VideoAcceleratorEngine.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe
c:\windows\system32\rundll32.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\windows\system32\searchprotocolhost.exe
c:\windows\system32\searchfilterhost.exe
c:\program files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
.
**************************************************************************
.
Czas ukończenia: 2009-07-28 14:04 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-07-28 12:04

Przed: 33 609 220 096 bajtów wolnych
Po: 34 533 904 384 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

503 --- E O F --- 2009-07-20 08:13

Pliki ukryte znowu działają, czyli już wszystko OK. Wielkie dzięki za pomoc.

  • 0

#12 Macsch15

Macsch15

    Profesjonalista

  • 3 705 postów

Napisano 28 07 2009 - 15:15

Usuń folder Qoobox

Przeskanuj plik:

c:\windows\system32\mlfcache.dat

Na http://www.virustotal.com/pl/
Daj log ze strony

Użyj programu Malwarebytes
Wciskasz Skanuj, wybierasz dyski do skanowania i Rozpoczynasz skanowanie, na końcu wciskasz Usuń zaznaczone jak będą i Ok.
Wrzuć wygenerowany raport po usuwaniu MBAMem.


Posprzątaj po ComboFixie i różnych narzędziach : OTCleanIt.

  • 0

#13 Krzychu25

Krzychu25

    Zaawansowany użytkownik

  • 1 045 postów

Napisano 28 07 2009 - 21:08

Folder usunąłem.

http://www.virustotal.com/pl/analisis/62a7...88d7-1248808047

CODE-BOX
Malwarebytes' Anti-Malware 1.39
Wersja bazy definicji: 2522
Windows 5.1.2600 Dodatek Service Pack 3

2009-07-28 21:11:13
mbam-log-2009-07-28 (21-11-13).txt

Typ skanowania: Pełne skanowanie (C:\|E:\|F:\|)
Przeskanowane obiekty: 317439
Upłynęło: 25 minute(s), 58 second(s)

Zainfekowane procesy w pamięci: 1
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 6
Zainfekowane wartości rejestru: 2
Zainfekowane pliki rejestru: 0
Zainfekowane foldery: 0
Zainfekowane pliki: 5

Zainfekowane procesy w pamięci:
C:\WINDOWS\VistaDrive\VistaDrive.exe (Trojan.Downloader) -> Unloaded process successfully.

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:
HKEY_CLASSES_ROOT\Interface\{37b85a2a-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{37b85a2c-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{37b85a20-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> Quarantined and deleted successfully.

Zainfekowane wartości rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vistadrive (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Zainfekowane pliki rejestru:
(Nie wykryto groźnych plików)

Zainfekowane foldery:
(Nie wykryto groźnych plików)

Zainfekowane pliki:
C:\WINDOWS\VistaDrive\VistaDrive.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\program files\advanced registry doctor\RdvChk.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\program files\premium booster\RdvChk.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\system volume information\_restore{994cb17b-18f6-4952-b7d8-3d51545873fa}\RP106\A0059511.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\system volume information\_restore{994cb17b-18f6-4952-b7d8-3d51545873fa}\RP83\A0048907.exe (PuP.Keylogger) -> Quarantined and deleted successfully.

  • 0

#14 Macsch15

Macsch15

    Profesjonalista

  • 3 705 postów

Napisano 28 07 2009 - 21:10

Usuń wszystko co znalazł.
  • 0

#15 Krzychu25

Krzychu25

    Zaawansowany użytkownik

  • 1 045 postów

Napisano 28 07 2009 - 21:14

Wszystko usunąłem.

  • 0




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych