Skocz do zawartości


Zdjęcie

Logi - Pozostałości po antyvirusach

Rozpoczęty przez macko444 , 02 03 2009 11:13

  • Zamknięty Temat jest zamknięty
8 odpowiedzi w tym temacie

#1 macko444

macko444

    Początkujący

  • 38 postów

Napisano 02 03 2009 - 11:13

Proszę o sprawdzenie loga:

CODE-BOX
ComboFix 09-03-01.01 - Hendry 2009-03-02 10:06:24.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.33 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Hendry\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
* Resident AV is active


UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA Dołączona grafika
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Hendry\Dane aplikacji\EurekaLog
c:\windows\ios.dat
c:\windows\svchost.ini
c:\windows\system32\m3.ico
c:\windows\system32\sf.ico

.
((((((((((((((((((((((((( Pliki utworzone od 2009-02-02 do 2009-03-02 )))))))))))))))))))))))))))))))
.

2009-03-02 09:55 . 2009-03-02 10:01 <DIR> d-------- c:\program files\ESET
2009-03-02 09:55 . 2009-03-02 09:55 512,096 --a------ c:\windows\system32\drivers\amon.sys
2009-03-02 09:55 . 2009-03-02 09:55 298,104 --a------ c:\windows\system32\imon.dll
2009-03-02 09:55 . 2009-03-02 09:55 15,424 --a------ c:\windows\system32\drivers\nod32drv.sys
2009-03-01 20:30 . 2009-03-01 20:30 <DIR> d-------- c:\documents and settings\Hendry\Dane aplikacji\OpenOffice.org
2009-03-01 20:28 . 2009-03-01 20:28 <DIR> d-------- c:\program files\OpenOffice.org 3
2009-03-01 12:50 . 2009-02-05 22:11 1,256,296 --a------ c:\windows\system32\asw1D.tmp
2009-03-01 12:40 . 2009-03-01 12:43 <DIR> d-------- c:\windows\2DC8B66DCFE1470A9B1AA6047A7E085F.TMP
2009-03-01 11:40 . 2009-03-01 11:40 <DIR> d-------- C:\Brother
2009-03-01 11:40 . 2006-01-17 01:03 126,976 --------- c:\windows\system32\BrfxD05a.dll
2009-03-01 11:40 . 2003-11-28 18:57 0 --------- c:\windows\brdfxspd.dat
2009-02-26 19:17 . 2009-02-26 19:18 22,016 --a------ c:\windows\MDM.EXE.vir
2009-02-26 18:36 . 2007-01-21 14:48 49,242 -r-hs---- C:\RavMon.exe
2009-02-22 16:02 . 2009-02-22 16:02 <DIR> d-------- c:\program files\Softstunt RM RMVB Converter
2009-02-22 15:57 . 2009-02-22 15:57 <DIR> d-------- c:\documents and settings\Hendry\Dane aplikacji\DivX
2009-02-22 13:53 . 2006-12-28 13:39 176,128 --------- c:\windows\system32\BroSNMP.dll
2009-02-22 13:53 . 2007-01-25 17:16 94,208 -r------- c:\windows\system32\BrDctF2.dll
2009-02-22 13:53 . 2007-01-15 21:54 12,288 -r------- c:\windows\system32\BrDctF2S.dll
2009-02-22 13:53 . 2007-01-15 18:56 12,288 -r------- c:\windows\system32\BrDctF2L.dll
2009-02-22 13:52 . 2009-02-22 13:52 <DIR> d-------- c:\documents and settings\Hendry\Dane aplikacji\InstallShield
2009-02-22 13:52 . 2007-01-18 13:51 163,840 --------- c:\windows\system32\NSSearch.dll
2009-02-22 13:52 . 2004-10-21 01:00 6,222 --------- c:\windows\CVRPAGE.BMP
2009-02-21 23:35 . 2009-02-21 23:37 <DIR> d-------- c:\program files\uTorrent
2009-02-21 23:35 . 2009-02-22 00:39 <DIR> d-------- c:\documents and settings\Hendry\Dane aplikacji\uTorrent
2009-02-19 21:20 . 2009-02-19 21:24 <DIR> d-------- c:\program files\RegCleaner
2009-02-19 20:07 . 2002-11-26 13:43 106,496 --------- c:\windows\system32\BrMuSNMP.dll
2009-02-19 20:07 . 2006-07-07 12:40 73,728 --------- c:\windows\system32\BRCrypt.dll
2009-02-19 20:07 . 2007-02-06 19:50 61,952 --------- c:\windows\system32\BrNetSti.dll
2009-02-19 20:07 . 2007-01-26 14:42 61,440 --------- c:\windows\system32\BrMfNt.dll
2009-02-19 20:07 . 2006-12-26 19:39 37,376 --------- c:\windows\system32\Brnsplg.dll
2009-02-19 20:07 . 2007-01-26 15:06 34,816 --------- c:\windows\system32\BrWiaNCp.dll
2009-02-19 20:07 . 2007-01-26 15:05 18,944 --------- c:\windows\system32\BrnStiCp.cpl
2009-02-19 20:07 . 2006-11-20 20:48 9,728 --------- c:\windows\system32\BrSti07a.dll
2009-02-19 16:49 . 2009-02-19 16:58 75,264 --a------ c:\windows\cadkasdeinst01e.exe
2009-02-18 19:50 . 2004-08-04 00:44 221,184 --a------ c:\windows\system32\wmpns.dll
2009-02-16 18:13 . 2009-02-16 18:13 <DIR> d-------- c:\program files\Microsoft Virtual PC
2009-02-16 12:14 . 2009-02-16 12:14 <DIR> d-------- c:\program files\IrfanView
2009-02-14 20:56 . 2009-02-14 20:56 204 --a------ c:\windows\RtlRack.ini
2009-02-14 10:26 . 2009-02-14 10:26 <DIR> d-------- c:\windows\system32\config\systemprofile\Dane aplikacji\ArcaBit
2009-02-14 10:26 . 2009-02-14 10:26 <DIR> d-------- c:\documents and settings\LocalService\Dane aplikacji\ArcaBit
2009-02-14 09:08 . 2009-03-01 12:43 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-02-14 09:06 . 2009-02-14 09:06 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\CA
2009-02-13 17:26 . 2009-02-13 17:26 <DIR> d-------- c:\documents and settings\Hendry\.gstreamer-0.10
2009-02-13 17:16 . 2009-02-14 10:29 <DIR> d-------- c:\documents and settings\Hendry\Dane aplikacji\Nowe Gadu-Gadu
2009-02-13 17:15 . 2009-02-13 17:15 <DIR> d-------- c:\program files\Nowe Gadu-Gadu
2009-02-11 20:08 . 2009-02-11 20:08 <DIR> d-------- c:\program files\MySQL
2009-02-10 14:49 . 2009-02-10 14:49 <DIR> d-------- c:\program files\WapSter
2009-02-10 12:55 . 2009-02-10 12:55 <DIR> d-------- c:\program files\Microsoft Works
2009-02-10 12:54 . 2009-02-10 12:54 <DIR> d-------- c:\program files\Microsoft.NET
2009-02-10 12:48 . 2009-02-10 12:48 <DIR> dr-h----- C:\MSOCache
2009-02-10 12:36 . 2009-02-13 11:27 <DIR> d-------- c:\windows\ShellNew
2009-02-10 08:43 . 2009-02-10 08:43 <DIR> d-------- c:\program files\Common Files\NewSoft
2009-02-10 08:43 . 2009-02-10 08:43 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Newsoft
2009-02-10 08:38 . 2009-02-10 08:38 <DIR> d-------- c:\documents and settings\Hendry\Dane aplikacji\ScanSoft
2009-02-02 19:58 . 2009-02-07 13:36 <DIR> d-------- c:\program files\free-downloads.net
2009-02-02 19:58 . 2009-02-07 13:37 <DIR> d-------- c:\program files\Conduit
2009-02-02 19:57 . 2009-02-02 19:57 <DIR> d-------- c:\program files\Alcohol Soft

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-02 09:01 --------- d-----w c:\documents and settings\Hendry\Dane aplikacji\foobar2000
2009-03-01 17:05 --------- d-----w c:\program files\Common Files\Adobe
2009-02-28 16:54 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-27 12:51 183,112 ----a-w c:\windows\system32\PnkBstrB.exe
2009-02-27 12:51 138,184 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-02-23 15:53 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Microsoft Help
2009-02-22 15:13 --------- d-----w c:\program files\Real Alternative
2009-02-22 12:53 --------- d-----w c:\program files\Brother
2009-02-21 23:10 --------- d-----w c:\program files\Borland
2009-02-21 22:12 --------- d-----w c:\program files\Sony
2009-02-21 10:44 --------- d-----w c:\program files\Google
2009-02-21 10:29 --------- d-----w c:\program files\Szybkie Pisanie
2009-02-19 18:18 --------- d-----w c:\program files\AvRack
2009-02-13 10:00 --------- d-----w c:\documents and settings\Hendry\Dane aplikacji\SiteAdvisor
2009-02-06 20:16 --------- d-----w c:\program files\PhotoScape
2009-02-02 15:24 --------- d-----w c:\program files\mks_vir_2007
2009-01-31 17:40 --------- d-----r c:\documents and settings\Hendry\Dane aplikacji\Brother
2009-01-30 21:44 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\ScanSoft
2009-01-30 21:27 --------- d-----w c:\program files\Nuance
2009-01-30 21:26 --------- d-----w c:\program files\Common Files\ScanSoft Shared
2009-01-30 21:26 --------- d-----w c:\program files\Common Files\InstallShield
2009-01-30 21:26 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\InstallShield
2009-01-30 21:25 --------- d-----w c:\program files\ScanSoft
2009-01-30 21:25 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Brother
2009-01-28 10:39 --------- d-----w c:\program files\Prec
2009-01-19 08:37 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Trymedia
2009-01-08 11:56 --------- d-----w c:\documents and settings\Hendry\Dane aplikacji\gtk-2.0
2009-01-02 12:14 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2009-01-02 12:12 22,328 ----a-w c:\documents and settings\Hendry\Dane aplikacji\PnkBstrK.sys
2008-12-25 20:24 167,936 ----a-w c:\windows\system32\dhofozr.dll
2008-12-16 21:39 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-16 09:47 673,280 ----a-w c:\windows\is-N99HE.exe
2009-02-16 11:15 135,680 ----a-w c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-02-06 9302632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-03-02 949376]
"SoundMan"="SOUNDMAN.EXE" [2005-01-21 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^Hendry^Menu Start^Programy^Autostart^Pajączek NxG Updater.exe]
path=c:\documents and settings\Hendry\Menu Start\Programy\Autostart\Pajączek NxG Updater.exe
backup=c:\windows\pss\Pajączek NxG Updater.exeStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Program Files\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\Program Files\\BearShare\\BearShare.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8461:TCP"= 8461:TCP:GoD High Port
"8462:TCP"= 8462:TCP:GoD Low Port
"50000:TCP"= 50000:TCP:ArcaVir CommunicationPort (A)
"50001:TCP"= 50001:TCP:ArcaVir CommunicationPort (S)

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-11-05 78416]
R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [2009-03-02 15424]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-11-05 20560]
S2 ArcaRemoteService;ArcaBit Control;c:\program files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe --> c:\program files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe [?]
S2 AVTasks2;ArcaBit Tasks Service;c:\progra~1\ArcaBit\Common\ARCATA~1.EXE --> c:\progra~1\ArcaBit\Common\ARCATA~1.EXE [?]
S3 AVPsys;AVPsys;c:\windows\system32\drivers\cdaudio.sys [2001-08-17 18688]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{836a2a30-a66a-11dd-acb9-0004619f1d1a}]
\Shell\AutoRun\command - I:\RavMon.exe
\Shell\explore\Command - I:\RavMon.exe -e
\Shell\open\Command - I:\RavMon.exe
.
Zawartość folderu 'Zaplanowane zadania'

2009-03-02 c:\windows\Tasks\GlaryInitialize.job
- i:\program files\Glary Utilities\initialize.exe []
.
- - - - USUNIĘTO PUSTE WPISY - - - -

ShellIconOverlayIdentifiers-{B9CE503D-03F8-4161-A8A6-C912ADFCF2D4} - (no file)


.
------- Skan uzupełniający -------
.
uStart Page = hxxp://google.bearshare.com/pl
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\imon.dll
TCP: {F8E2E7BB-21D5-4AEB-9900-DC77A0F45E56} = 194.204.159.1,195.117.3.3
FF - ProfilePath - c:\documents and settings\Hendry\Dane aplikacji\Mozilla\Firefox\Profiles\u9f5ipy6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/
FF - prefs.js: keyword.URL - about:neterror?e=query&u=
FF - component: c:\documents and settings\Hendry\Dane aplikacji\Mozilla\Firefox\Profiles\u9f5ipy6.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - component: c:\program files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl\components\ArcaExt.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npWebLaunch.dll
FF - plugin: c:\program files\thriXXX\WebLaunch\Binaries\npWebLaunch.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-02 10:07:44
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"c:\program files\MySQL\MySQL Server 4.1\bin\mysqld-nt\" --defaults-file=\"c:\program files\MySQL\MySQL Server 4.1\my.ini\" MySQL"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(880)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(936)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
Czas ukończenia: 2009-03-02 10:08:46
ComboFix-quarantined-files.txt 2009-03-02 09:08:39

Przed: 1 353 379 840 bajtów wolnych
Po: 1,425,915,904 bajtów wolnych

206

Z góry dziękuję za pomoc :D
Pozdrawiam..

  • 0

#2 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 02 03 2009 - 12:36

Wklej do Notatnika:
File::
c:\windows\MDM.EXE.vir
C:\RavMon.exe
c:\windows\system32\dhofozr.dll

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{836a2a30-a66a-11dd-acb9-0004619f1d1a}]
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
--> Dołączona grafika
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.

ordynat

  • 0

#3 macko444

macko444

    Początkujący

  • 38 postów

Napisano 02 03 2009 - 14:05

ComboFix:
CODE-BOX
ComboFix 09-03-01.01 - Hendry 2009-03-02 12:55:59.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.279 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Hendry\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Hendry\Pulpit\CFScript.txt
AV: avast! antivirus 4.8.1229 [VPS 081105-0] *On-access scanning disabled* (Outdated)
AV: System antywirusowy NOD32 2.70 *On-access scanning enabled* (Updated)
* Utworzono nowy punkt przywracania
* Resident AV is active


UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA Dołączona grafika

FILE ::
C:\RavMon.exe
c:\windows\MDM.EXE.vir
c:\windows\system32\dhofozr.dll
.

((((((((((((((((((((((((( Pliki utworzone od 2009-02-02 do 2009-03-02 )))))))))))))))))))))))))))))))
.

2009-03-02 09:55 . 2009-03-02 10:01 <DIR> d-------- c:\program files\ESET
2009-03-02 09:55 . 2009-03-02 09:55 512,096 --a------ c:\windows\system32\drivers\amon.sys
2009-03-02 09:55 . 2009-03-02 09:55 298,104 --a------ c:\windows\system32\imon.dll
2009-03-02 09:55 . 2009-03-02 09:55 15,424 --a------ c:\windows\system32\drivers\nod32drv.sys
2009-03-01 20:30 . 2009-03-01 20:30 <DIR> d-------- c:\documents and settings\Hendry\Dane aplikacji\OpenOffice.org
2009-03-01 20:28 . 2009-03-01 20:28 <DIR> d-------- c:\program files\OpenOffice.org 3
2009-03-01 12:50 . 2009-02-05 22:11 1,256,296 --a------ c:\windows\system32\asw1D.tmp
2009-03-01 12:40 . 2009-03-01 12:43 <DIR> d-------- c:\windows\2DC8B66DCFE1470A9B1AA6047A7E085F.TMP
2009-03-01 11:40 . 2009-03-01 11:40 <DIR> d-------- C:\Brother
2009-03-01 11:40 . 2006-01-17 01:03 126,976 --------- c:\windows\system32\BrfxD05a.dll
2009-03-01 11:40 . 2003-11-28 18:57 0 --------- c:\windows\brdfxspd.dat
2009-02-22 16:02 . 2009-02-22 16:02 <DIR> d-------- c:\program files\Softstunt RM RMVB Converter
2009-02-22 15:57 . 2009-02-22 15:57 <DIR> d-------- c:\documents and settings\Hendry\Dane aplikacji\DivX
2009-02-22 13:53 . 2006-12-28 13:39 176,128 --------- c:\windows\system32\BroSNMP.dll
2009-02-22 13:53 . 2007-01-25 17:16 94,208 -r------- c:\windows\system32\BrDctF2.dll
2009-02-22 13:53 . 2007-01-15 21:54 12,288 -r------- c:\windows\system32\BrDctF2S.dll
2009-02-22 13:53 . 2007-01-15 18:56 12,288 -r------- c:\windows\system32\BrDctF2L.dll
2009-02-22 13:52 . 2009-02-22 13:52 <DIR> d-------- c:\documents and settings\Hendry\Dane aplikacji\InstallShield
2009-02-22 13:52 . 2007-01-18 13:51 163,840 --------- c:\windows\system32\NSSearch.dll
2009-02-22 13:52 . 2004-10-21 01:00 6,222 --------- c:\windows\CVRPAGE.BMP
2009-02-21 23:35 . 2009-02-21 23:37 <DIR> d-------- c:\program files\uTorrent
2009-02-21 23:35 . 2009-02-22 00:39 <DIR> d-------- c:\documents and settings\Hendry\Dane aplikacji\uTorrent
2009-02-19 21:20 . 2009-02-19 21:24 <DIR> d-------- c:\program files\RegCleaner
2009-02-19 20:07 . 2002-11-26 13:43 106,496 --------- c:\windows\system32\BrMuSNMP.dll
2009-02-19 20:07 . 2006-07-07 12:40 73,728 --------- c:\windows\system32\BRCrypt.dll
2009-02-19 20:07 . 2007-02-06 19:50 61,952 --------- c:\windows\system32\BrNetSti.dll
2009-02-19 20:07 . 2007-01-26 14:42 61,440 --------- c:\windows\system32\BrMfNt.dll
2009-02-19 20:07 . 2006-12-26 19:39 37,376 --------- c:\windows\system32\Brnsplg.dll
2009-02-19 20:07 . 2007-01-26 15:06 34,816 --------- c:\windows\system32\BrWiaNCp.dll
2009-02-19 20:07 . 2007-01-26 15:05 18,944 --------- c:\windows\system32\BrnStiCp.cpl
2009-02-19 20:07 . 2006-11-20 20:48 9,728 --------- c:\windows\system32\BrSti07a.dll
2009-02-19 16:49 . 2009-02-19 16:58 75,264 --a------ c:\windows\cadkasdeinst01e.exe
2009-02-18 19:50 . 2004-08-04 00:44 221,184 --a------ c:\windows\system32\wmpns.dll
2009-02-16 18:13 . 2009-02-16 18:13 <DIR> d-------- c:\program files\Microsoft Virtual PC
2009-02-16 12:14 . 2009-02-16 12:14 <DIR> d-------- c:\program files\IrfanView
2009-02-14 20:56 . 2009-02-14 20:56 204 --a------ c:\windows\RtlRack.ini
2009-02-14 10:26 . 2009-02-14 10:26 <DIR> d-------- c:\documents and settings\LocalService\Dane aplikacji\ArcaBit
2009-02-14 09:08 . 2009-03-01 12:43 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-02-14 09:06 . 2009-02-14 09:06 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\CA
2009-02-13 17:26 . 2009-02-13 17:26 <DIR> d-------- c:\documents and settings\Hendry\.gstreamer-0.10
2009-02-13 17:16 . 2009-02-14 10:29 <DIR> d-------- c:\documents and settings\Hendry\Dane aplikacji\Nowe Gadu-Gadu
2009-02-13 17:15 . 2009-02-13 17:15 <DIR> d-------- c:\program files\Nowe Gadu-Gadu
2009-02-11 20:08 . 2009-02-11 20:08 <DIR> d-------- c:\program files\MySQL
2009-02-10 14:49 . 2009-02-10 14:49 <DIR> d-------- c:\program files\WapSter
2009-02-10 12:55 . 2009-02-10 12:55 <DIR> d-------- c:\program files\Microsoft Works
2009-02-10 12:54 . 2009-02-10 12:54 <DIR> d-------- c:\program files\Microsoft.NET
2009-02-10 12:48 . 2009-02-10 12:48 <DIR> dr-h----- C:\MSOCache
2009-02-10 12:36 . 2009-02-13 11:27 <DIR> d-------- c:\windows\ShellNew
2009-02-10 08:43 . 2009-02-10 08:43 <DIR> d-------- c:\program files\Common Files\NewSoft
2009-02-10 08:43 . 2009-02-10 08:43 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Newsoft
2009-02-10 08:38 . 2009-02-10 08:38 <DIR> d-------- c:\documents and settings\Hendry\Dane aplikacji\ScanSoft
2009-02-02 19:58 . 2009-02-07 13:36 <DIR> d-------- c:\program files\free-downloads.net
2009-02-02 19:58 . 2009-02-07 13:37 <DIR> d-------- c:\program files\Conduit
2009-02-02 19:57 . 2009-02-02 19:57 <DIR> d-------- c:\program files\Alcohol Soft

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-02 11:53 --------- d-----w c:\documents and settings\Hendry\Dane aplikacji\foobar2000
2009-03-01 17:05 --------- d-----w c:\program files\Common Files\Adobe
2009-02-28 16:54 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-27 12:51 183,112 ----a-w c:\windows\system32\PnkBstrB.exe
2009-02-27 12:51 138,184 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-02-23 15:53 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Microsoft Help
2009-02-22 15:13 --------- d-----w c:\program files\Real Alternative
2009-02-22 12:53 --------- d-----w c:\program files\Brother
2009-02-21 23:10 --------- d-----w c:\program files\Borland
2009-02-21 22:12 --------- d-----w c:\program files\Sony
2009-02-21 10:44 --------- d-----w c:\program files\Google
2009-02-21 10:29 --------- d-----w c:\program files\Szybkie Pisanie
2009-02-19 18:18 --------- d-----w c:\program files\AvRack
2009-02-13 10:00 --------- d-----w c:\documents and settings\Hendry\Dane aplikacji\SiteAdvisor
2009-02-06 20:16 --------- d-----w c:\program files\PhotoScape
2009-02-02 15:24 --------- d-----w c:\program files\mks_vir_2007
2009-01-31 17:40 --------- d-----r c:\documents and settings\Hendry\Dane aplikacji\Brother
2009-01-30 21:44 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\ScanSoft
2009-01-30 21:27 --------- d-----w c:\program files\Nuance
2009-01-30 21:26 --------- d-----w c:\program files\Common Files\ScanSoft Shared
2009-01-30 21:26 --------- d-----w c:\program files\Common Files\InstallShield
2009-01-30 21:26 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\InstallShield
2009-01-30 21:25 --------- d-----w c:\program files\ScanSoft
2009-01-30 21:25 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Brother
2009-01-28 10:39 --------- d-----w c:\program files\Prec
2009-01-19 08:37 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Trymedia
2009-01-08 11:56 --------- d-----w c:\documents and settings\Hendry\Dane aplikacji\gtk-2.0
2009-01-02 12:14 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2009-01-02 12:12 22,328 ----a-w c:\documents and settings\Hendry\Dane aplikacji\PnkBstrK.sys
2008-12-16 21:39 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-16 09:47 673,280 ----a-w c:\windows\is-N99HE.exe
2009-02-16 11:15 135,680 ----a-w c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-02-06 9302632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-03-02 949376]
"SoundMan"="SOUNDMAN.EXE" [2005-01-21 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^Hendry^Menu Start^Programy^Autostart^Pajączek NxG Updater.exe]
path=c:\documents and settings\Hendry\Menu Start\Programy\Autostart\Pajączek NxG Updater.exe
backup=c:\windows\pss\Pajączek NxG Updater.exeStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Program Files\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\Program Files\\BearShare\\BearShare.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"i:\\Program Files\\WapSter AQQ\\AQQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8461:TCP"= 8461:TCP:GoD High Port
"8462:TCP"= 8462:TCP:GoD Low Port
"50000:TCP"= 50000:TCP:ArcaVir CommunicationPort (A)
"50001:TCP"= 50001:TCP:ArcaVir CommunicationPort (S)

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-11-05 78416]
R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [2009-03-02 15424]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-11-05 20560]
S2 ArcaRemoteService;ArcaBit Control;c:\program files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe --> c:\program files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe [?]
S2 AVTasks2;ArcaBit Tasks Service;c:\progra~1\ArcaBit\Common\ARCATA~1.EXE --> c:\progra~1\ArcaBit\Common\ARCATA~1.EXE [?]
S3 AVPsys;AVPsys;c:\windows\system32\drivers\cdaudio.sys [2001-08-17 18688]
.
Zawartość folderu 'Zaplanowane zadania'

2009-03-02 c:\windows\Tasks\GlaryInitialize.job
- i:\program files\Glary Utilities\initialize.exe []
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://google.bearshare.com/pl
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\imon.dll
TCP: {F8E2E7BB-21D5-4AEB-9900-DC77A0F45E56} = 194.204.159.1,195.117.3.3
FF - ProfilePath - c:\documents and settings\Hendry\Dane aplikacji\Mozilla\Firefox\Profiles\u9f5ipy6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/
FF - prefs.js: keyword.URL - about:neterror?e=query&u=
FF - component: c:\documents and settings\Hendry\Dane aplikacji\Mozilla\Firefox\Profiles\u9f5ipy6.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - component: c:\program files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl\components\ArcaExt.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npWebLaunch.dll
FF - plugin: c:\program files\thriXXX\WebLaunch\Binaries\npWebLaunch.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-02 12:57:24
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"c:\program files\MySQL\MySQL Server 4.1\bin\mysqld-nt\" --defaults-file=\"c:\program files\MySQL\MySQL Server 4.1\my.ini\" MySQL"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(880)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(936)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
Czas ukończenia: 2009-03-02 12:58:26
ComboFix-quarantined-files.txt 2009-03-02 11:58:17

Przed: 2 048 024 576 bajtów wolnych
Po: 2,039,209,984 bajtów wolnych

196

  • 0

#4 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 02 03 2009 - 14:56

Script niczego nie usuwał, a mimo to obiekty przeznaczone do usunięcia zniknęły - wyparowały, czy może dwa razy używałeś Script?

ordynat
  • 0

#5 macko444

macko444

    Początkujący

  • 38 postów

Napisano 02 03 2009 - 17:30

Raz używałem.. Możliwe że później NOD'em 32 coś mi usunęło z kompa i zniknęły.
Nie miałem żadnego aktywnego wcześniej antywirusa i zainstalowałem NOD32..
  • 0

#6 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 02 03 2009 - 19:28

Nie miałem żadnego aktywnego wcześniej antywirusa

To tylko częściowa prawda, bo w logu widać:
AV: avast! antivirus 4.8.1229 [VPS 081105-0] *On-access scanning disabled* (Outdated)

2009-03-01 12:50 . 2009-02-05 22:11 1,256,296 --a------ c:\windows\system32\asw1D.tmp
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-11-05 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-11-05 20560]

Czyli Avast jest nie tylko zainstalowany, ale i czynny.


2009-02-14 10:26 . 2009-02-14 10:26 <DIR> d-------- c:\documents and settings\LocalService\Dane aplikacji\ArcaBit
S2 ArcaRemoteService;ArcaBit Control;c:\program files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe --> c:\program files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe [?]
S2 AVTasks2;ArcaBit Tasks Service;c:\progra~1\ArcaBit\Common\ARCATA~1.EXE --> c:\progra~1\ArcaBit\Common\ARCATA~1.EXE [?]

ArcaBit też jest, ale nieczynny.

ordynat
  • 0

#7 macko444

macko444

    Początkujący

  • 38 postów

Napisano 03 03 2009 - 09:53

Tzn. Oba te atywiry niby były, ale jak widziałem po czasie ArcaBit został odinstalowany przez brata, a ja usuwałem Avasta zamieniając go na NOD'a.. a kilka dni wcześniej był jeszcze mks_vir. A i tak nie były aktualizowane bazy danych wirusów w niektórych przypadkach więc j.w. zainstalowałem NOD'a..
  • 0

#8 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 03 03 2009 - 12:21

W takim razie usuń przynajmniej te widoczne ich resztki, by nie obciążały komputera:

Wklej do Notatnika:
File::
c:\windows\system32\asw1D.tmp
c:\windows\system32\drivers\aswSP.sys 
c:\windows\system32\drivers\aswFsBlk.sys

Folder::
c:\documents and settings\LocalService\Dane aplikacji\ArcaBit
c:\program files\ArcaBit

Driver::
aswSP
aswFsBlk
ArcaRemoteService
AVTasks2
>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
--> Dołączona grafika
Ma się rozpocząć usuwanie. (i powstanie log).
Logu oczywiście nie musisz dawać.

ordynat
  • 0

#9 macko444

macko444

    Początkujący

  • 38 postów

Napisano 03 03 2009 - 12:26

Oki, dzięki wielkie za pomoc :D

  • 0
Wróć do Bezpieczeństwo (wirusy i trojany)


Użytkownicy przeglądający ten temat: 1

0 użytkowników, 1 gości, 0 anonimowych

  1. Forum Komputerowe Tweaks.pl
  2. Oprogramowanie
  3. Bezpieczeństwo (wirusy i trojany)
  4. Polityka prywatności
  5. Szukaj
  6. Regulamin Forum ·