Skocz do zawartości


Zdjęcie

Logi - Długi okres bez antyvirusa


  • Zamknięty Temat jest zamknięty
36 odpowiedzi w tym temacie

#1 diablllooo

diablllooo

    Początkujący

  • 18 postów

Napisano 09 06 2007 - 18:34

Moj syn korzystal z komputera bez zainstalowania jakiegokolwiek programu antywirusowego i najprawdopodobiej nasciagal roznego rodzaju wirusow. Nie moge teraz zainstalowac programu antywirusowego, poniewaz instalacja dochodzi do pewnego stopnia (zawsze innego) i instalator wylacza sie. Firefox sie czasami sam zamyka, komputer tez. Chcialem sformatowac komputer, ale po wlozeniu plyty z windowsem do napedu i ponownym wlaczeniu komputera od razu pojawia sie logo windowsa i nie moge tego formata zrobic. Nie wiem jak sobie poradzic.

  • 0

#2 Aman

Aman

    Windows 98/XP/Vista/Ubuntu

  • 955 postów

Napisano 09 06 2007 - 18:46

Podaj logi z HijackThis i Silent Runners. Aby sformatować kompa najpierw musisz ustawić bootowanie w BIOSIE na CD

  • 0

#3 diablllooo

diablllooo

    Początkujący

  • 18 postów

Napisano 09 06 2007 - 18:49

Podaj logi z HijackThis i Silent Runners. Aby sformatować kompa najpierw musisz ustawić bootowanie w BIOSIE na CD

Mozna po Polsku, bo jestem laikiem komputerowym. :D
  • 0

#4 Aman

Aman

    Windows 98/XP/Vista/Ubuntu

  • 955 postów

Napisano 09 06 2007 - 19:06

HijackThis i Silent Runners to programy zainstaluj je sobie i wygeneruj z nich logi, następnie je skopiuj i wklej je tutaj na forum.

A jeżeli chodzi o te bootowanie, podczas uruchomienia komputera zaraz na pierwszym ekranie naciśnij klawisz "del" (lub inny, wszystko zależy jaką masz płytę główną, popatrz na ekran tam będzie napisane jak wejść do BIOSU ). Jak już wejdziesz do tego Biosu to musisz szukać opcji boot sequence" lub "boot priority" lub coś takiego, każdy bios to ma inaczej, leć po każdej zakładce i szukaj tej opcji. Jak znajdziesz to ustaw CD jako "first boot device", wtedy płyta będzie sie uruchamiała podczas startu. Pozostało tylko zapisać ustawienie BIOSU i to też jest różnie często F10 to też będzie tam gdzieś na dole napisane. Gdy wyjdziesz z biosu, nastąpi samoczynny restart, teraz płyta będzie ci się bootować.
  • 0

#5 diablllooo

diablllooo

    Początkujący

  • 18 postów

Napisano 09 06 2007 - 19:37

HijackThis i Silent Runners to programy zainstaluj je sobie i wygeneruj z nich logi, następnie je skopiuj i wklej je tutaj na forum.

A jeżeli chodzi o te bootowanie, podczas uruchomienia komputera zaraz na pierwszym ekranie naciśnij klawisz "del"

najgorsze ze ten ekran sie nie pojawia, ale moge wejsc do biosa, jesli zaraz po wlaczeniu komputera wcisne del. wtedy jest jednak tylko czarny ekran
Logfile of HijackThis v1.99.1
Scan saved at 19:26:48, on 2007-06-09
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32Winkbpk.exe
C:Program FilesMcp1.exe
C:WINDOWSsystem32Ati2evxx.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesJavajre1.5.0_10binjusched.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesGadu-Gadugg.exe
C:Program FilesRALINKRT2500 Wireless LAN CardInstallerWINXPRaConfig2500.exe
C:Program FilesMessengermsmsgsgmw.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesHw5.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:WINDOWSSystem32wuauclt.exe
C:WINDOWSexplorer.exe
C:Documents and SettingsKarolPulpitHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [url=http://google.bearshare.com/pl/]http://google.bearshare.com/pl/[/url]
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:Program FilesMyGlobalSearchbar1.binMGSBAR.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_10binssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:Program FilesMyGlobalSearchbar1.binMGSBAR.DLL
O4 - HKLM..Run: [ATICCC] "C:Program FilesATI TechnologiesATI.ACEcli.exe" runtime -Delay
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.5.0_10binjusched.exe"
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [BearShare] "C:Program FilesBearShareBearShare.exe" /pause
O4 - HKLM..Run: [outlook] C:Program Filesoutlookoutlook.exe /auto
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /tray
O4 - HKCU..Run: [Skype] "C:Program FilesSkypePhoneSkype.exe" /nosplash /minimized
O4 - Global Startup: RaConfig2500.lnk = C:Program FilesRALINKRT2500 Wireless LAN CardInstallerWINXPRaConfig2500.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_10binssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_10binssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSwebrelated.htm
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSSystem32Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: Winkbpk - Unknown owner - C:WINDOWSSystem32Winkbpk.exe



"Silent Runners.vbs", revision R50, [url=http://www.silentrunners.org/]http://www.silentrunners.org/[/url]
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCUSoftwareMicrosoftWindowsCurrentVersionRun {++}
"MSMSGS" = ""C:Program FilesMessengermsmsgs.exe" /background" [MS]
"Gadu-Gadu" = ""C:Program FilesGadu-Gadugg.exe" /tray" ["Gadu-Gadu S.A."]
"Skype" = ""C:Program FilesSkypePhoneSkype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLMSoftwareMicrosoftWindowsCurrentVersionRun {++}
"ATICCC" = ""C:Program FilesATI TechnologiesATI.ACEcli.exe" runtime -Delay" [null data]
"SunJavaUpdateSched" = ""C:Program FilesJavajre1.5.0_10binjusched.exe"" ["Sun Microsystems, Inc."]
"SoundMan" = "SOUNDMAN.EXE" [file not found]
"NeroFilterCheck" = "C:WINDOWSsystem32NeroCheck.exe" ["Ahead Software Gmbh"]
"BearShare" = ""C:Program FilesBearShareBearShare.exe" /pause" ["Free Peers, Inc."]
"outlook" = "C:Program Filesoutlookoutlook.exe /auto" [file not found]

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided)
  -> {HKLM...CLSID} = "AcroIEHlprObj Class"
				   InProcServer32(Default) = "C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll" ["Adobe Systems Incorporated"]
{37B85A21-692B-4205-9CAD-2626E4993404}(Default) = "My Global Search Bar BHO"
  -> {HKLM...CLSID} = "My Global Search Bar BHO"
				   InProcServer32(Default) = "C:Program FilesMyGlobalSearchbar1.binMGSBAR.DLL" ["My Global Search"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
				   InProcServer32(Default) = "C:Program FilesJavajre1.5.0_10binssv.dll" ["Sun Microsystems, Inc."]

HKLMSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"
				   InProcServer32(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
				   InProcServer32(Default) = "C:WINDOWSSystem32hticons.dll" ["Hilgraeve, Inc."]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
  -> {HKLM...CLSID} = "SimpleShlExt Class"
				   InProcServer32(Default) = "C:Program FilesATI TechnologiesATI.ACEatiacmxx.dll" [empty string]

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify
<<!>> AtiExtEventDLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

To co zrobic?
  • 0

#6 Aman

Aman

    Windows 98/XP/Vista/Ubuntu

  • 955 postów

Napisano 10 06 2007 - 15:35

Odnośnie logów to wypowie się Maciej13, on sie na tym najlepiej zna.

Dziwne jest to, że nie włącza ci sie BIOS. Wyciągnij baterie z płyty głównej na kilkanaście minut, spowoduje to zresetowanie biosu, potem ją spowrotem wsadź i spróbuj ponownie wejść do Biosu.
  • 0

#7 diablllooo

diablllooo

    Początkujący

  • 18 postów

Napisano 10 06 2007 - 18:48

Odnośnie logów to wypowie się Maciej13, on sie na tym najlepiej zna.

Dziwne jest to, że nie włącza ci sie BIOS. Wyciągnij baterie z płyty głównej na kilkanaście minut, spowoduje to zresetowanie biosu, potem ją spowrotem wsadź i spróbuj ponownie wejść do Biosu.

Moge wejsc do biosa, tylko ten pierwszy ekran mi sie nie pojawia
  • 0

#8 Aman

Aman

    Windows 98/XP/Vista/Ubuntu

  • 955 postów

Napisano 11 06 2007 - 23:27

Jaki pierwszy ekran, nie wiem a co jaki dokładnie chodzi, co jest na tym ekranie?
  • 0

#9 diablllooo

diablllooo

    Początkujący

  • 18 postów

Napisano 12 06 2007 - 15:34

A jeżeli chodzi o te bootowanie, podczas uruchomienia komputera zaraz na pierwszym ekranie naciśnij klawisz "del" (lub inny, wszystko zależy jaką masz płytę główną, popatrz na ekran tam będzie napisane jak wejść do BIOSU ).

Ten na ktorym mam wcisnac klawisz del.
  • 0

#10 Maciej13

Maciej13

    SecurityMaster

  • 261 postów

Napisano 13 06 2007 - 14:13

Odinstaluj MyGlobalSearch z Panelu Sterowania.

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/


Plik oraz foldery na czerwono usuń w Trybie Awaryjnym z wyłączonym przywracaniem systemu, a wpisy zafixuj w Hjt.

C:\WINDOWS\System32\Winkbpk.exe
C:\Program Files\Hw5.exe
C:\Program Files\Mcp1.exe


Pliki na czerwono przeskanuj na stronie Virustotal.com i podaj wyniki na Forum.

Po pracy pokaż nowe logi. Wklej tym razem całego loga z Silent Runners!
  • 0

#11 Aman

Aman

    Windows 98/XP/Vista/Ubuntu

  • 955 postów

Napisano 13 06 2007 - 20:54

Ten pierwszy ekran pojawia się zaraz po włączeniu kompa i wygląda mniej więcej tak


http://www.pclabs.gen.tr/guides/bios/post.jpg


I tutaj musisz nacisnąć del

  • 0

#12 diablllooo

diablllooo

    Początkujący

  • 18 postów

Napisano 17 06 2007 - 13:19

Ten pierwszy ekran pojawia się zaraz po włączeniu kompa i wygląda mniej więcej tak


http://www.pclabs.gen.tr/guides/bios/post.jpg


I tutaj musisz nacisnąć del

Wiem jak wyglada ten ekran. Problem polega na tym, ze on sie nie pojawia.
Chce po prostu sformatowac komputer. Wczesniej, gdy go formatowalem pojawial sie napis, zebym wcisnal jakis klawisz i nastapi rozruch cd. Teraz tego nie ma i nawet jak wciskam jakis klawisz nic sie nie dzieje. Po wlaczeniu komputera, gdy wciskam del wchodzi do biosa, ale po wcisnieciu obojetnie jakiego rozruch nie nastepuje. Nie wiem jak teraz sformatowac.

  • 0

#13 Aman

Aman

    Windows 98/XP/Vista/Ubuntu

  • 955 postów

Napisano 17 06 2007 - 13:52

Czyli jednak możesz wejść do biosu. Nie następuje rozruch z płyty, ponieważ w biosie nie masz ustawione takiej jednej opcji, o której pisałem juz wcześniej. Cały czas chodzi mi o to, żebyś wszedł do biosu i tam to zmienił.

W Biosie musisz szukać opcji boot sequence" lub "boot priority" lub coś takiego, każdy bios to ma inaczej, leć po każdej zakładce i szukaj tej opcji. Jak znajdziesz to ustaw CD jako "first boot device", wtedy płyta będzie sie uruchamiała podczas startu. Pozostało tylko zapisać ustawienie BIOSU i to też jest różnie często F10 to też będzie tam gdzieś na dole napisane. Gdy wyjdziesz z biosu, nastąpi samoczynny restart, teraz płyta będzie ci się bootować.
  • 0

#14 diablllooo

diablllooo

    Początkujący

  • 18 postów

Napisano 17 06 2007 - 14:23

To wszedlem do biosu, znalazlem first boot device, byl tam hard disk, zmienilem na cd. Zapisalem, wlaczam i nic. Komputer uruchamia sie normalnie... Nie mam pojecia dlaczego tak sie dzieje i co zrobic.
  • 0

#15 Aman

Aman

    Windows 98/XP/Vista/Ubuntu

  • 955 postów

Napisano 17 06 2007 - 14:33

Jeżeli masz taką możliwość to spróbuj użyć innej płyty, może ta się po prostu zepsuła i sprawdź ja na innym komputerze.
  • 0

#16 diablllooo

diablllooo

    Początkujący

  • 18 postów

Napisano 17 06 2007 - 14:53

Ale gdy komputer juz jest wlaczony plyta sie odpala.
  • 0

#17 Maciej13

Maciej13

    SecurityMaster

  • 261 postów

Napisano 18 06 2007 - 06:26

No dobra, ale co z syfem? Wykonaj post #11.
  • 0

#18 diablllooo

diablllooo

    Początkujący

  • 18 postów

Napisano 18 06 2007 - 22:59

Usunalem te na czerwono

Logfile of HijackThis v1.99.1
Scan saved at 22:53:19, on 2007-06-18
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Winkbpk.exe
C:\Program Files\Ulu1.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\BearShare\BearShare.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Program Files\Messenger\msmsgsgmw.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Yyn10.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRARcbu.exe
C:\DOCUME~1\Karol\USTAWI~1\Temp\Rar$EX00.359\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://google.bearshare.com/pl/]http://google.bearshare.com/pl/[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Winkbpk - Unknown owner - C:\WINDOWS\System32\Winkbpk.exe







"Silent Runners.vbs", revision R50, [url=http://www.silentrunners.org/]http://www.silentrunners.org/[/url]
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\gg.exe" /tray" ["Gadu-Gadu S.A."]
"Skype" = ""C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATICCC" = ""C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay" [null data]
"SunJavaUpdateSched" = ""C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"SoundMan" = "SOUNDMAN.EXE" [file not found]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"BearShare" = ""C:\Program Files\BearShare\BearShare.exe" /pause" ["Free Peers, Inc."]
"outlook" = "C:\Program Files\outlook\outlook.exe /auto" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "AcroIEHlprObj Class"
				   \InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
				   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"
				   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
				   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{32714800-2E5F-11d0-8B85-00AA0044F941}" = "&Do osób..."
  -> {HKLM...CLSID} = "&Do osób..."
				   \InProcServer32\(Default) = "C:\Program Files\Outlook Express\wabfind.dll" [file not found]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
  -> {HKLM...CLSID} = "SimpleShlExt Class"
				   \InProcServer32\(Default) = "C:\Program Files\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
				   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
				   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
				   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
				   \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\Mozilla\Firefox\Tapeta pulpitu.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Firefox\Tapeta pulpitu.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Karol" & "All Users" startup folders:
-------------------------------------------------------

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"RaConfig2500" -> shortcut to: "C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe -s" ["Ralink Technology, Corp."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.5.0_10"
				   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.5.0_10"
				   \InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll" ["Sun Microsystems, Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Winkbpk, Winkbpk, "C:\WINDOWS\System32\Winkbpk.exe" [null data]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 661 seconds, including 13 seconds for message boxes)

  • 0

#19 Maciej13

Maciej13

    SecurityMaster

  • 261 postów

Napisano 19 06 2007 - 00:19

Logów nie sprawdzę dopóki nie odpowiesz na wszystkie pytania.

Podaj wyniki ze skanowania tych trzech plików. Aha, pokaż także log z ComboFix.
  • 0

#20 diablllooo

diablllooo

    Początkujący

  • 18 postów

Napisano 19 06 2007 - 17:38

ComboFix 07-06-18.2 - C:\Documents and Settings\Karol\Pulpit\ComboFix.exe
"Karol" - 2007-06-19 17:24:34 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-19 to 2007-06-19 )))))))))))))))))))))))))))))))


2007-06-19 17:21 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-19 17:05 10,240 --a------ C:\Program Files\Jpu5.exe
2007-06-19 07:38 10,240 --a------ C:\Program Files\Ghm10.exe
2007-06-19 07:36 10,240 --a------ C:\Program Files\Djd1.exe
2007-06-18 22:41 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-06-18 22:41 <DIR> dr-h----- C:\DOCUME~1\ADMINI~1\Dane aplikacji
2007-06-18 22:41 <DIR> dr------- C:\DOCUME~1\ADMINI~1\Menu Start
2007-06-18 22:41 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Ustawienia lokalne
2007-06-18 22:41 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Szablony
2007-06-18 22:41 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Ulubione
2007-06-18 22:41 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Pulpit
2007-06-18 22:41 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Moje dokumenty
2007-06-18 22:36 <DIR> d-------- C:\WINDOWS\CSC
2007-06-18 08:24 10,240 --a------ C:\Program Files\Jdh10.exe
2007-06-18 08:23 10,240 --a------ C:\Program Files\Nf1.exe
2007-06-17 22:07 10,240 --a------ C:\Program Files\Uix10.exe
2007-06-17 21:55 10,240 --a------ C:\Program Files\Bu1.exe
2007-06-17 18:07 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2007-06-17 18:07 <DIR> d-------- C:\Program Files\EA GAMES
2007-06-17 17:49 10,240 --a------ C:\Program Files\Gxa1.exe
2007-06-17 17:48 10,240 --a------ C:\Program Files\RwB.exe
2007-06-17 17:47 10,240 --a------ C:\Program Files\Lbs1.exe
2007-06-17 16:28 10,240 --a------ C:\Program Files\Szu4.exe
2007-06-17 16:28 10,240 --a------ C:\Program Files\Efw1.exe
2007-06-17 15:13 <DIR> d-------- C:\Program Files\Volleyball Manager
2007-06-17 13:25 10,240 --a------ C:\Program Files\QhqE.exe
2007-06-17 07:03 10,240 --a------ C:\Program Files\SlF.exe
2007-06-16 21:51 10,240 --a------ C:\Program Files\Fzm1.exe
2007-06-16 21:50 10,240 --a------ C:\Program Files\OqsE.exe
2007-06-16 21:49 10,240 --a------ C:\Program Files\Rz1.exe
2007-06-16 07:40 10,240 --a------ C:\Program Files\Vlg1.exe
2007-06-15 06:35 10,240 --a------ C:\Program Files\Tny1.exe
2007-06-14 06:33 10,240 --a------ C:\Program Files\DymF.exe
2007-06-10 23:22 10,240 --a------ C:\Program Files\Yv1.exe
2007-06-10 20:19 10,240 --a------ C:\Program Files\Dwu6.exe
2007-06-10 20:18 10,240 --a------ C:\Program Files\Jo1.exe
2007-06-09 15:08 10,240 --a------ C:\Program Files\Jot8.exe
2007-06-09 15:08 10,240 --a------ C:\Program Files\Ev1.exe
2007-06-09 15:05 10,240 --a------ C:\Program Files\Znh4.exe
2007-06-09 15:05 10,240 --a------ C:\Program Files\Gx1.exe
2007-06-08 21:27 10,240 --a------ C:\Program Files\NpoE.exe
2007-06-07 16:51 10,240 --a------ C:\Program Files\Tl1.exe
2007-06-06 16:22 10,240 --a------ C:\Program Files\Hre7.exe
2007-06-06 08:06 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-06-06 08:06 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-06-06 08:05 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-06-06 08:05 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2007-06-06 08:05 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll
2007-06-06 08:05 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2007-06-06 08:03 <DIR> d-------- C:\Program Files\Alwil Software
2007-06-05 22:20 4 --a------ C:\WINDOWS\system32\proc625010911.bin
2007-06-05 22:20 <DIR> d-------- C:\DOCUME~1\Karol\DANEAP~1\GanymedeNet
2007-06-05 19:30 10,240 --a------ C:\Program Files\Te1.exe
2007-06-05 19:15 10,240 --a------ C:\Program Files\Fmo1.exe
2007-06-05 19:13 10,240 --a------ C:\Program Files\Wrh1.exe
2007-06-05 19:13 10,240 --a------ C:\Program Files\RkC.exe
2007-06-05 09:25 10,240 --a------ C:\Program Files\Qfq1.exe
2007-06-03 18:51 <DIR> d-------- C:\Program Files\GSC Game World
2007-06-01 18:52 62,464 --a------ C:\WINDOWS\system32\bszip.dll
2007-06-01 18:52 175,104 --a------ C:\onoes.exe
2007-06-01 18:52 0 ---hs---- C:\WINDOWS\system32\tracert.com
2007-06-01 18:52 0 ---hs---- C:\WINDOWS\system32\tasklist.com
2007-06-01 18:52 0 ---hs---- C:\WINDOWS\system32\taskkill.com
2007-06-01 18:52 0 ---hs---- C:\WINDOWS\system32\regedit.com
2007-06-01 18:52 0 ---hs---- C:\WINDOWS\system32\ping.com
2007-06-01 18:52 0 ---hs---- C:\WINDOWS\system32\netstat.com
2007-06-01 18:52 0 ---hs---- C:\WINDOWS\system32\cmd.com
2007-06-01 18:52 <DIR> d--hs---- C:\Program Files\outlook
2007-06-01 12:40 639,224 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-06-01 08:14 <DIR> d-------- C:\Program Files\AC3Filter
2007-06-01 08:08 <DIR> d-------- C:\Program Files\BearShare
2007-06-01 08:08 <DIR> d-------- C:\My Downloads
2007-05-31 22:04 10,240 --a------ C:\Program Files\Fy13.exe
2007-05-23 19:19 <DIR> d-------- C:\WINDOWS\Cache
2007-05-23 16:21 10,240 --a------ C:\Program Files\Om1.exe
2007-05-23 11:44 10,240 --a------ C:\Program Files\Pa3.exe
2007-05-23 11:44 10,240 --a------ C:\Program Files\Lln1.exe
2007-05-22 18:25 <DIR> d-------- C:\Program Files\EA SPORTS
2007-05-22 18:23 292,864 --a------ C:\WINDOWS\system32\ddraw.dll
2007-05-22 18:23 24,064 --a------ C:\WINDOWS\system32\ddrawex.dll
2007-05-22 18:22 98,816 --a------ C:\WINDOWS\system32\dmstyle.dll
2007-05-22 18:22 974,848 --a------ C:\WINDOWS\system32\dxdiag.exe
2007-05-22 18:22 83,968 --a------ C:\WINDOWS\system32\drivers\nabtsfec.sys
2007-05-22 18:22 80,896 --a------ C:\WINDOWS\system32\dpvsetup.exe
2007-05-22 18:22 76,800 --a------ C:\WINDOWS\system32\dmscript.dll
2007-05-22 18:22 733,184 --a------ C:\WINDOWS\system32\qedwipes.dll
2007-05-22 18:22 7,424 --a------ C:\WINDOWS\system32\drivers\mskssrv.sys
2007-05-22 18:22 667,648 --a------ C:\WINDOWS\system32\dinput8.dll
2007-05-22 18:22 64,512 --a------ C:\WINDOWS\system32\amstream.dll
2007-05-22 18:22 58,368 --a------ C:\WINDOWS\system32\dmcompos.dll
2007-05-22 18:22 52,096 --a------ C:\WINDOWS\system32\drivers\msdv.sys
2007-05-22 18:22 5,504 --a------ C:\WINDOWS\system32\drivers\mstee.sys
2007-05-22 18:22 5,248 --a------ C:\WINDOWS\system32\drivers\mspclock.sys
2007-05-22 18:22 491,520 --a------ C:\WINDOWS\system32\dsdmoprp.dll
2007-05-22 18:22 48,512 --a------ C:\WINDOWS\system32\drivers\stream.sys
2007-05-22 18:22 470,528 --a------ C:\WINDOWS\system32\qdvd.dll
2007-05-22 18:22 47,104 --a------ C:\WINDOWS\system32\wstdecod.dll
2007-05-22 18:22 46,592 --a------ C:\WINDOWS\system32\dxdllreg.exe
2007-05-22 18:22 4,608 --a------ C:\WINDOWS\system32\drivers\mspqm.sys
2007-05-22 18:22 4,096 --a------ C:\WINDOWS\system32\ksuser.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-19 15:06:06 -------- d-----w C:\DOCUME~1\Karol\DANEAP~1\Skype
2007-06-13 19:27:40 2,320 ----a-w C:\WINDOWS\mozver.dat
2007-06-03 16:51:45 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-05-23 17:08:54 -------- d-----w C:\Program Files\Gadu-Gadu
2007-05-22 16:15:15 67,078 ----a-w C:\WINDOWS\system32\perfc015.dat
2007-05-22 16:15:15 435,978 ----a-w C:\WINDOWS\system32\perfh015.dat
2007-05-22 15:59:24 -------- d-----w C:\Program Files\Messenger
1617-10-26 20:34:13 91,072 --sha-r C:\WINDOWS\system32\Winkbpk.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll [2003-11-04 00:17]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll [2006-11-09 16:21]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 16:07]
"SoundMan"="SOUNDMAN.EXE" []
"BearShare"="C:\Program Files\BearShare\BearShare.exe" [2006-08-01 17:04]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 08:14]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2006-11-14 11:12]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-12-18 18:32]


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-19 17:29:08
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-19 17:29:31

--- E O F ---






http://img98.imageshack.us/my.php?image=aaaawo0.png

Pozostalych dwoch plikow nie lokalizuje, czyli zrobilem wszystko o czym mowiles.

  • 0




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych