marcos777

13 Czerwca 2010

Bez sensu wklejasz aż tyle różnych logów tym bardziej, że znasz zasady naszego działu. Prosimy tu tylko o logi z OTL + Gmer i tego się trzymaj na przyszłość. Prosze nie wklejać logów, o które nie jesteś proszony. Niektóre narzędzia użyte tutaj zostały bezpodstawnie.

Ok Landuss. Sorry. Oczywiście wiem jakie są zasady.

Tak, wiem, że dużo logów, ale jak miałem zrobić logi Otl i Gmera skoro W OGÓLE system nie wstawał, tylko w kółko się restartował?

Najpierw więc zrobiłem co umiałem, żeby w ogóle odpalić kompa i dostać się do windy (i to chyba z całkiem niezłym skutkiem).

A podałem w poście całą historię naprawy, bo wydawało mi się, że lepiej jak fachowcy zobaczą pełny obraz moich działań i wyłapią w pozostałych logach jeszcze jakieś ślady wirusów w systemie do usunięcia np. skryptami.

Mogłem oczywiście pominąć cały wcześniejszy kontekst, ale czy wtedy z końcowych logów OTL wiedziałbyś o wirusach usuniętych przez CF, MBAM, A-2 czy Kaspresky Virus Removal Tools?

Gmer do końca nie daje logów, bo w trakcie szukania restartuje kompa, więc użyłem TDSS rootkit removing tool, MBR.exe. , EMebRemover.exe, Fixmebroot.exe.

Zapomniałem dodać, że w międzyczasie wykonałem jeszcze WWDC, TFC, CCleaner, AFC, czyszczenie Recycler i wyłączanie Przywracania systemu i resety kompa.

Usunąłem też na końcu Winamp Toolbar, zaktualizowałem Acrobata do 9.3, FireFoxa do 3.6.3, posprzątałem programem Ashampoo WinOptimizer 2010, MyDefrag i zrobiłem aktualizacje krytyczne systemu XP, ale o tym też już nie pisałem.

(A`propos - jeśli ktoś potrzebuje Ashampoo WinOptimizer 2010, to jest do pobrania pełna wersja za FREE)

--

Jutro odinstaluję CF i zrobię aktualizację Javy.

Zapytam nieśmiało, podać na koniec jakieś logi?

Pozdrawiam i dziękuję Landuss.

13 Czerwca 2010

Witam,

w kompie koleżanki z Win Xp HE wirusy nie pozwalały na start systemu. Non-stop na okrągło były restarty, bez możliwości zalogowania i startu systemu.

Proszę o ewentualne skrypty czyszczące po usunięciu infekcji. Aktualnie już jest wszystko OK.

Zacząłem od Hiren`s Boot Live-CD i antywir Clam. Pousuwał kilka vir.

Najpierw ręcznie poczyściłem Temp, Temp. Internet Files, Cookies, następnie użyłem kilka programów antywir + ComboFix, każdy z nich coś pousuwał.

(Okazało się przy okazji, że Remover, MBAM i SpyHunter mojego pochodzenia i wgrane na tego kompa, a użyte do testowania - same w sobie mają wiry ).

Na kompie jest też rezultat działania ComboFix użyty przez kogoś w listopadzie 2009.

Podaję logi (w kolejności powstania):

TDSS rootkit removing tool

Kaspersky Virus Removal Tools

Malwarebytes' Anti-Malware

A-squared quarantine

A-2 screen

A-squared

Malwarebytes' Anti-Malware

GMER w trakcie działania restartował kompa i nigdy nie doszedł do końca.

Aktualnie wydaje się, że już jest wszystko OK.

Proszę o instrukcje i końcowe skrypty czyszczące po usunięciu infekcji.

8 Czerwca 2010

Do nnneooo:

OK, spróbuję coś podziałać, ale jak skończy się MEMTEST.

Po nocy - wynik: "18 pass complete, no errors".

------------

Jak chodzi o logowanie - sprawa załatwiona. Pomogło to co poleciłeś od M$:

Thx

Korzystając z Edytora rejestru, można dodać informacje użytkownika związane z logowaniem. Aby to zrobić, wykonaj następujące kroki:
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.

Zlokalizuj następujący klucz rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Korzystając ze swojej nazwy konta i hasła, kliknij dwukrotnie wpis DefaultUserName, wpisz swoją nazwę użytkownika, a następnie kliknij przycisk OK.

Kliknij dwukrotnie wpis DefaultPassword, wpisz swoje hasło w polu danych wartości, a następnie kliknij przycisk OK.

Jeżeli wartość DefaultPassword nie istnieje, utwórz tę wartość. Aby to zrobić, wykonaj następujące kroki:

W Edytorze rejestru kliknij menu Edycja, kliknij polecenie Nowy, a następnie kliknij polecenie Wartość ciągu.

Wpisz nazwę wartości DefaultPassword, a następnie naciśnij klawisz ENTER.

Kliknij dwukrotnie nowo utworzony klucz, a następnie wpisz swoje hasło w polu Dane wartości.

Jeżeli nie określono ciągu DefaultPassword, system Windows XP automatycznie zmienia wartość klucza rejestru AutoAdminLogon z 1 (prawda) na 0 (fałsz), aby wyłączyć funkcję logowania automatycznego (AutoAdminLogon).

Kliknij dwukrotnie wpis AutoAdminLogon, wpisz 1 w polu tekstowym Dane wartości, a następnie kliknij przycisk OK.

Jeżeli wpis AutoAdminLogon nie istnieje, utwórz ten wpis. Aby to zrobić, wykonaj następujące kroki:

W Edytorze rejestru kliknij menu Edycja, kliknij polecenie Nowy, a następnie kliknij polecenie Wartość ciągu.

Wpisz nazwę wartości AutoAdminLogon, a następnie naciśnij klawisz ENTER.

Kliknij dwukrotnie nowo utworzony klucz, a następnie wpisz 1 w polu Dane wartości.

Zamknij Edytor rejestru.

Kliknij przycisk Start,kliknij polecenie Zamknij, kliknij przycisk Uruchom ponownie, a następnie kliknij przycisk OK.

Po ponownym uruchomieniu komputera i uruchomieniu systemu Windows XP można logować się automatycznie.

--------

A czy w sprawie STOP - Blue Screen`ów coś można zaradzić?

-------

Zrobiłem jeszcze profilaktyczny scan Spware Doctor - o dziwo znalazł jeszcze i usunął 2 trojany (27 infekcji):

Trojan-Downloader.Murlo i Trojan-Downloader.Bagle

Log Spyware Doctor

============

Minęło kilka dni. Komp chodzi bez zarzutu. Temat do zamknięcia . Dziękuję wszystkim za pomoc.

8 Czerwca 2010

Dla porządku podaję ostatnie logi:

OTL.txt

OTL.Extras

GMER

Komp chyba w końcu czysty, nawet Gmer nie protestował i zeskanował kompa

Proszę jednak o pomoc w kilku innych kwestiach.

1. Czasem wyskaują BSODy:

STOP. Page_fault_In_nonpaged_area.

Przyczyna problemu: ntfs.sys - adres base at B9E01000 , DateStamp 48025be5.

0 x 00000050
(0 x A82AEA74, 0 x 00000000, 0 x B9E0365B, 0 x 00000000)

STOP.

0 x 0000008E

(0 x C0000005, 0 x 805C3133, 0 x BA4CF9E0, 0 x 00000000)

2) Logowanie do XP HE.

Jak zrobić by nie wyskaiwało żadne okno logowania i jak naprawić konto administratora?

Próbowałem przez Control userspaswords2, resetowałem hasła, uprawnienia.

Wyskakuje okienko logowania się konta Administratora z komunikatem, że "Nie można się zalogować z powodu ograniczeń konta."

Jak wpiszę nazwę użytkownika "Lucyna", to wchodzę.

Ale nie chcę ani ikonek do klikania, ani okienek do wpisywania użytkowników i haseł.

5 Czerwca 2010

OK Landuss, ale dopiero w poniedziałek jak będę miał dostęp.

A masz jakiś pomysł na zawieszenia się tego kompa?

Bo można przełączać się między aplikacjami (Alt+Tab), ale trzeba bardzo długo czekać na wejście do nich.

Nie zawsze, ale często się to zdarza. Czasem wolę zrobić reset niż czekać na reakcję.

Wcześniej tego nie było.

4 Czerwca 2010

Witam ponownie.

A teraz po kolei logi:

- CF script used:

Rootkit::
c:\documents and settings\All Users\My applications\Windows Defender Apps Control.exe

Folder::

C:\Program Files\Temp

c:\documents and settings\All Users\My applications

File::

c:\documents and settings\profilux12.FBUH-DC790BF809\cpuxp.sys

Driver::

cpuxp

- CATCHME LOG:

-------- 2010-06-04 - 08:35:16 -------------

-------- 2010-06-04 - 08:39:57 -------------

file zipped: C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe -> _Windows Defender Apps Control_.exe.zip -> Windows Defender Apps Control.exe ( 121133 bytes )

PE file "C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe" killed successfully

Z początku wyskakiwały błędy i nie działały skanery MBR (chyba były blokowane przez wirusy?):

- screen1

- screen2

- TDSSKiller nic nie znalazł.

- SnapShot@2010-06-04 - wkleic? Bo długi i może nudny

- ComboFix - Quarantantined Files:

2010-06-04 06:43:03 . 2010-06-04 06:43:03 40,575 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\All Users\My applications\_Windows Defender Apps Control_.exe.zip
2010-06-04 06:42:27 . 2010-06-04 06:42:27 2,856 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Service_cpuxp.reg.dat

2010-06-04 06:42:27 . 2010-06-04 06:42:27 1,234 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Legacy_CPUXP.reg.dat

2010-06-04 06:42:22 . 2010-06-04 06:42:22 4,934 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2010-06-04 06:40:49 . 2010-06-04 06:40:49 0 ----a-w- C:\Qoobox\Quarantine\catchme.txt

2010-06-04 06:35:16 . 2010-06-04 06:43:04 418 ----a-w- C:\Qoobox\Quarantine\catchme.log

2010-06-02 19:03:48 . 2010-06-02 19:03:48 5,918,720 ----a-w- C:\Qoobox\Quarantine\C\Program Files\Temp\temporary2.exe.vir

2010-06-02 19:03:47 . 2010-06-02 19:03:47 121,133 ----a-w- C:\Qoobox\Quarantine\C\Program Files\Temp\temporary1.exe.vir

2010-06-02 12:36:27 . 2010-06-04 06:43:04 121,133 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe.vir

- FixMebroot v1.0.1

FixMebroot could not open its device driver!

- Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Spróbowałem OTL w trybie awaryjnym:

OTL.txt

OTL.extras

A oto log z Kaspersky Virus Removal Tools:

Autoscan: completed 14764 days ago (events: 17, objects: 217860, time: 01:14:33)
2010-06-04 11:19:29 Task started

2010-06-04 11:41:00 Detected: Trojan-GameThief.Win32.Tibia.fpn C:\Qoobox\Quarantine\C\Documents and Settings\All Users\My applications\_Windows Defender Apps Control_.exe.zip/Windows Defender Apps Control.exe/data0000.res

2010-06-04 11:41:00 Detected: Trojan-GameThief.Win32.Tibia.fpn C:\System Volume Information\_restore{93D4E559-81EE-4C57-A8D9-CE2FC37B1BC8}\RP11\A0008034.exe/data0000.res

2010-06-04 11:41:00 Detected: Trojan-GameThief.Win32.Tibia.fpn C:\Qoobox\Quarantine\C\Program Files\Temp\temporary1.exe.vir/data0000.res

2010-06-04 11:41:21 Detected: Trojan-GameThief.Win32.Tibia.fpn C:\Qoobox\Quarantine\C\Documents and Settings\All Users\My applications\_Windows Defender Apps Control_.exe.zip/Windows Defender Apps Control.exe/data0001.res

2010-06-04 11:41:22 Detected: Trojan-GameThief.Win32.Tibia.fpn C:\Qoobox\Quarantine\C\Documents and Settings\All Users\My applications\_Windows Defender Apps Control_.exe.zip/Windows Defender Apps Control.exe/data0002.res

2010-06-04 11:41:26 Detected: Trojan-GameThief.Win32.Tibia.fpn C:\System Volume Information\_restore{93D4E559-81EE-4C57-A8D9-CE2FC37B1BC8}\RP11\A0008034.exe/data0001.res

2010-06-04 11:41:28 Detected: Trojan-GameThief.Win32.Tibia.fpn C:\System Volume Information\_restore{93D4E559-81EE-4C57-A8D9-CE2FC37B1BC8}\RP11\A0008034.exe/data0002.res

2010-06-04 11:41:28 Detected: Trojan-GameThief.Win32.Tibia.fpn C:\Qoobox\Quarantine\C\Program Files\Temp\temporary1.exe.vir/data0001.res

2010-06-04 11:41:30 Detected: Trojan-GameThief.Win32.Tibia.fpn C:\Qoobox\Quarantine\C\Program Files\Temp\temporary1.exe.vir/data0002.res

2010-06-04 11:43:17 Detected: Trojan-GameThief.Win32.Tibia.fpn C:\Qoobox\Quarantine\C\Program Files\Temp\temporary1.exe.vir/#

2010-06-04 11:43:17 Detected: Trojan-GameThief.Win32.Tibia.fpn C:\System Volume Information\_restore{93D4E559-81EE-4C57-A8D9-CE2FC37B1BC8}\RP11\A0008034.exe/#

2010-06-04 11:43:17 Deleted: Trojan-GameThief.Win32.Tibia.fpn C:\Qoobox\Quarantine\C\Program Files\Temp\temporary1.exe.vir

2010-06-04 11:43:17 Deleted: Trojan-GameThief.Win32.Tibia.fpn C:\System Volume Information\_restore{93D4E559-81EE-4C57-A8D9-CE2FC37B1BC8}\RP11\A0008034.exe

2010-06-04 11:43:17 Detected: Trojan-GameThief.Win32.Tibia.fpn C:\Qoobox\Quarantine\C\Documents and Settings\All Users\My applications\_Windows Defender Apps Control_.exe.zip/Windows Defender Apps Control.exe/#

2010-06-04 11:43:18 Deleted: Trojan-GameThief.Win32.Tibia.fpn C:\Qoobox\Quarantine\C\Documents and Settings\All Users\My applications\_Windows Defender Apps Control_.exe.zip/Windows Defender Apps Control.exe

2010-06-04 12:34:02 Task completed

Od razu pytanie: czy jest możliwe tego syfa złapać nie grając w Tibię?

DrWeb, MBAM nic nie znalazł.

KasperskyVirusRemovalTools znalazł i pousuwał:

Results of system analysis Kaspersky Virus Removal Tools:

Log FixMebroot v1.0.1

FixMebroot has finished scanning your MBR.

It contains no Mebroot infection.

MBR.exe log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

screen3

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 16:31 on 04/06/2010 (profilux12)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=

------- 2010-06-04 - 08:35:16  -------------


-------- 2010-06-04 - 08:39:57  -------------

file zipped: C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe -> _Windows Defender Apps Control_.exe.zip -> Windows Defender Apps Control.exe ( 121133 bytes ) 
PE file "C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe" killed successfully

-------- 2010-06-04 - 18:06:52 -------------

2010-06-04 06:43:03 . 2010-06-04 09:43:18 22 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\All Users\My applications\_Windows Defender Apps Control_.exe.zip

2010-06-04 06:42:27 . 2010-06-04 06:42:27 2,856 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Service_cpuxp.reg.dat

2010-06-04 06:42:27 . 2010-06-04 06:42:27 1,234 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Legacy_CPUXP.reg.dat

2010-06-04 06:42:22 . 2010-06-04 16:09:21 4,934 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2010-06-04 06:40:49 . 2010-06-04 06:40:49 0 ----a-w- C:\Qoobox\Quarantine\catchme.txt

2010-06-04 06:35:16 . 2010-06-04 16:06:52 469 ----a-w- C:\Qoobox\Quarantine\catchme.log

2010-06-02 19:03:48 . 2010-06-02 19:03:48 5,918,720 ----a-w- C:\Qoobox\Quarantine\C\Program Files\Temp\temporary2.exe.vir

2010-06-02 12:36:27 . 2010-06-04 06:43:04 121,133 ----a-w- C:\Qoobox\Quarantine\C\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe.vir

Ostatni ComboFix log::ComboFix

GMER nie ukończył ani razu skanowania. Wieszał się XP i klepsydra non-stop.

Zamieszczę więc skróconą wersję loga, bez opcji szukaj.

GMER

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit quick scan 2010-06-04 18:18:51

Windows 5.1.2600 Dodatek Service Pack 3

Running: gmer.exe; Driver: C:\DOCUME~1\PROFIL~1.FBU\USTAWI~1\Temp\kwlyifob.sys

---- System - GMER 1.0.15 ----

Code \??\C:\DOCUME~1\PROFIL~1.FBU\USTAWI~1\Temp\catchme.sys pIofCallDriver

---- Devices - GMER 1.0.15 ----

Device Ntfs.sys (NT File System Driver/Microsoft Corporation)

AttachedDevice eamon.sys (Amon monitor/ESET)

Device Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation)

AttachedDevice fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\Tcp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\Udp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

AttachedDevice \Driver\Tcpip \Device\RawIp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

---- EOF - GMER 1.0.15 ----

Komp normalnie się otwiera, ale bardzo często się zawiesza.

Proszę o instrukcje jak sfinalizować sanację.

3 Czerwca 2010

OK Picasso.

Ale niestety dopiero jutro.

I dziękuję za wyrozumiałość w sprawie CF

Picasso:

Log z MBR.EXE jest niejasny

Może jeszcze to w czymś pomoże. Mianowicie po skanowaniach CF zastosowałem Clean w OTL.

Pozostał folder C:\xxxCFixxx (pod taką nazwą zapisałem CF jak ściągałem z sieci).

W nim były 3 pliki. Podałem w poście zawartość MBR.TXT.

Załączam teraz pozostałe, może da Ci się je podglądnąć.

Próbuję, ale wyskakuje

Błąd! Nie masz uprawnień by wgrywać ten rodzaj pliku.

Te 2 pliki to: mbr.cfxxe i CF8710.cfxxe.

Waga: 75 i 375 kB.

Hostuję na Sendspace:

edytowane

3 Czerwca 2010

OK Landuss.

Dziwna sprawa z tymi aktywnymi emulatorami napędów wirtualnych, bo to komp co miał minimum rzeczy poinstalowane i nikt na nim specjalnie ich nie instalował. Chyba.

Sprawdzę oczywiście, ale dopiero w piątek, jak będę miał dostęp do zainfekowanego kompa.

Jeszcze jedna informacja, robactwa mogło być więcej, ale logi ich nie pokazują, bo przed skanowaniami i reinstalką - jak miałem dostęp do kompa tylko przez CD-Live DrWeb ,

czyściłem ręcznie Tempy, Temp.Int.Files, Recykled, Cookies.

W C:\Program Files\Temp\... były 2 pliki (o takiej lub podobnej nazwie) "TEMPORARY1.EXE" z wirusami. Usunąłem je również.

Czy jest możliwe stwierdzenie - w przybliżeniu chociaż, źródła / sposobu zarażenia?

2 Czerwca 2010

Ponieważ pogodziłem się już z ewentualną reinstalką, użyłem - mimo wszystko, wbrew zaleceniom - wybacz Picasso - ComboFix.

Parę razy nie zaskoczył, tzn. zaczynał się ładować pasek, okienko znikalo i nic.

W końcu na nowo go ściągnąłem, ale zapisałem pod zmienioną nazwą. Odpalił i sytuacja się poprawiła.

Oto log ComboFix:

ComboFix 10-06-01.05 - profilux12 2010-06-02 17:19:32.1.2 - x86 NETWORK

Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.2038.1793 [GMT 2:00]

Uruchomiony z: c:\documents and settings\profilux12.FBUH-DC790BF809\Pulpit\xxxxCFixxxx.exe

AV: ESET NOD32 Antivirus 4.2 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

FW: Zapora osobista *disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\profilux12.FBUH-DC790BF809\cpuxp.sys

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_CPUXP

-------\Service_cpuxp

((((((((((((((((((((((((( Pliki utworzone od 2010-05-02 do 2010-06-02 )))))))))))))))))))))))))))))))

.

2010-06-02 15:12 . 2010-06-02 15:12 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache

2010-06-02 14:44 . 2010-06-02 14:44 -------- d-----w- c:\program files\Damian Pasternak

2010-06-02 14:17 . 2010-06-02 14:17 23408 ----a-w- c:\documents and settings\profilux12.FBUH-DC790BF809\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2010-06-02 14:17 . 2010-06-02 14:17 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ESET

2010-06-02 14:15 . 2010-06-02 14:15 -------- d-sh--w- c:\documents and settings\profilux12.FBUH-DC790BF809\IECompatCache

2010-06-02 14:13 . 2010-06-02 14:13 -------- d-sh--w- c:\documents and settings\profilux12.FBUH-DC790BF809\PrivacIE

2010-06-02 14:11 . 2010-06-02 14:11 -------- d-----w- c:\program files\CCleaner

2010-06-02 14:10 . 2010-06-02 14:10 -------- d-----w- c:\documents and settings\profilux12.FBUH-DC790BF809\Ustawienia lokalne\Dane aplikacji\Threat Expert

2010-06-02 14:09 . 2010-01-21 23:21 165840 ----a-w- c:\windows\PCTBDRes.dll

2010-06-02 14:09 . 2010-01-21 23:21 149456 ----a-w- c:\windows\SGDetectionTool.dll

2010-06-02 14:09 . 2010-01-21 23:21 1652688 ----a-w- c:\windows\PCTBDCore.dll

2010-06-02 14:09 . 2010-01-21 23:21 767952 ----a-w- c:\windows\BDTSupport.dll

2010-06-02 14:09 . 2009-10-27 23:36 1152444 ----a-w- c:\windows\UDB.zip

2010-06-02 14:09 . 2008-11-26 10:08 131 ----a-w- c:\windows\IDB.zip

2010-06-02 13:57 . 2009-10-30 09:11 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys

2010-06-02 13:57 . 2009-11-09 09:20 207792 ----a-w- c:\windows\system32\drivers\PCTCore.sys

2010-06-02 13:57 . 2009-10-06 14:31 87784 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys

2010-06-02 13:57 . 2009-09-03 07:45 70408 ----a-w- c:\windows\system32\drivers\pctplsg.sys

2010-06-02 13:57 . 2010-06-02 14:09 -------- d-----w- c:\program files\Common Files\PC Tools

2010-06-02 13:57 . 2010-06-02 15:10 -------- d-----w- c:\program files\Spyware Doctor

2010-06-02 13:57 . 2010-06-02 13:57 -------- d-----w- c:\documents and settings\profilux12.FBUH-DC790BF809\Dane aplikacji\PC Tools

2010-06-02 13:57 . 2010-06-02 13:57 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\PC Tools

2010-06-02 13:38 . 2010-06-02 15:22 -------- d---a-w- c:\documents and settings\All Users\Dane aplikacji\TEMP

2010-06-02 13:06 . 2010-06-02 13:06 -------- d-sh--w- c:\documents and settings\profilux12.FBUH-DC790BF809\IETldCache

2010-06-02 13:02 . 2010-04-16 11:43 41984 -c----w- c:\windows\system32\dllcache\iecompat.dll

2010-06-02 13:02 . 2010-02-25 09:49 11070976 -c----w- c:\windows\system32\dllcache\ieframe.dll

2010-06-02 13:02 . 2010-02-25 06:19 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll

2010-06-02 13:02 . 2010-02-25 06:19 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll

2010-06-02 13:02 . 2010-02-25 06:19 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll

2010-06-02 13:02 . 2010-02-25 06:19 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll

2010-06-02 13:02 . 2010-02-25 06:19 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll

2010-06-02 12:58 . 2010-06-02 12:58 -------- d-----w- c:\documents and settings\Marek\Dane aplikacji\GHISLER

2010-06-02 12:44 . 2010-06-02 12:44 -------- d-----w- c:\documents and settings\profilux12.FBUH-DC790BF809\Ustawienia lokalne\Dane aplikacji\GHISLER

2010-06-02 12:40 . 2010-06-02 12:40 503808 ----a-w- c:\documents and settings\profilux12.FBUH-DC790BF809\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-6379155f-n\msvcp71.dll

2010-06-02 12:40 . 2010-06-02 12:40 499712 ----a-w- c:\documents and settings\profilux12.FBUH-DC790BF809\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-6379155f-n\jmc.dll

2010-06-02 12:40 . 2010-06-02 12:40 348160 ----a-w- c:\documents and settings\profilux12.FBUH-DC790BF809\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-6379155f-n\msvcr71.dll

2010-06-02 12:40 . 2010-06-02 12:40 61440 ----a-w- c:\documents and settings\profilux12.FBUH-DC790BF809\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-24455117-n\decora-sse.dll

2010-06-02 12:40 . 2010-06-02 12:40 12800 ----a-w- c:\documents and settings\profilux12.FBUH-DC790BF809\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-24455117-n\decora-d3d.dll

2010-06-02 12:38 . 2010-06-02 12:57 -------- d-----w- C:\totalcmd

2010-06-02 12:38 . 2010-06-02 12:38 -------- d-----w- c:\documents and settings\profilux12.FBUH-DC790BF809\Dane aplikacji\GHISLER

2010-06-02 12:38 . 2009-09-24 05:50 545 ----a-w- c:\windows\UC.PIF

2010-06-02 12:38 . 2009-09-24 05:50 545 ----a-w- c:\windows\RAR.PIF

2010-06-02 12:38 . 2009-09-24 05:50 545 ----a-w- c:\windows\PKZIP.PIF

2010-06-02 12:38 . 2009-09-24 05:50 545 ----a-w- c:\windows\PKUNZIP.PIF

2010-06-02 12:38 . 2009-09-24 05:50 545 ----a-w- c:\windows\NOCLOSE.PIF

2010-06-02 12:38 . 2009-09-24 05:50 545 ----a-w- c:\windows\LHA.PIF

2010-06-02 12:38 . 2009-09-24 05:50 545 ----a-w- c:\windows\ARJ.PIF

2010-06-02 12:38 . 2008-06-14 17:36 273024 -c----w- c:\windows\system32\dllcache\bthport.sys

2010-06-02 12:37 . 2010-02-24 13:11 455680 -c----w- c:\windows\system32\dllcache\mrxsmb.sys

2010-06-02 12:36 . 2010-06-02 12:36 -------- d-----w- c:\documents and settings\profilux12.FBUH-DC790BF809\Dane aplikacji\Malwarebytes

2010-06-02 12:36 . 2010-06-02 12:36 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes

2010-06-02 12:36 . 2010-06-02 12:36 -------- d-----w- c:\documents and settings\All Users\My applications

2010-06-02 12:36 . 2010-06-02 13:44 -------- d-----w- c:\program files\Temp

2010-06-02 12:22 . 2010-06-02 12:22 -------- d-----w- c:\documents and settings\Marek\Ustawienia lokalne\Dane aplikacji\Google

2010-06-02 12:11 . 2010-06-02 12:11 -------- d-s---w- c:\documents and settings\profilux12.FBUH-DC790BF809\UserData

2010-06-02 12:09 . 2010-06-02 12:09 -------- d-----w- c:\documents and settings\profilux12.FBUH-DC790BF809\Ustawienia lokalne\Dane aplikacji\Google

2010-06-02 12:07 . 2010-06-02 12:07 -------- d-----w- c:\documents and settings\profilux12.FBUH-DC790BF809\Ustawienia lokalne\Dane aplikacji\Ahead

2010-06-02 11:51 . 2008-04-15 12:00 7168 -c--a-w- c:\windows\system32\dllcache\kbdibm02.dll

2010-06-02 11:41 . 2008-04-15 12:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll

2010-06-02 11:41 . 2008-04-15 12:00 24661 ----a-w- c:\windows\system32\spxcoins.dll

2010-06-02 11:41 . 2008-04-15 12:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll

2010-06-02 11:41 . 2008-04-15 12:00 13312 ----a-w- c:\windows\system32\irclass.dll

2010-06-01 09:59 . 2010-06-02 15:19 -------- d--h--r- c:\documents and settings\profilux12.FBUH-DC790BF809\Dane aplikacji

2010-06-01 09:36 . 2010-06-01 09:36 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2010-05-28 06:35 . 2010-05-28 06:35 -------- d-sh--w- c:\documents and settings\NetworkService.ZARZĄDZANIE NT

2010-05-25 06:31 . 2010-05-25 06:31 503808 ----a-w- c:\documents and settings\profilux12\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-54afdc7f-n\msvcp71.dll

2010-05-25 06:31 . 2010-05-25 06:31 499712 ----a-w- c:\documents and settings\profilux12\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-54afdc7f-n\jmc.dll

2010-05-25 06:31 . 2010-05-25 06:31 348160 ----a-w- c:\documents and settings\profilux12\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-54afdc7f-n\msvcr71.dll

2010-05-25 06:31 . 2010-05-25 06:31 61440 ----a-w- c:\documents and settings\profilux12\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-744bfe73-n\decora-sse.dll

2010-05-25 06:31 . 2010-05-25 06:31 12800 ----a-w- c:\documents and settings\profilux12\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-744bfe73-n\decora-d3d.dll

2010-05-24 07:52 . 2010-05-24 07:52 -------- d-----w- c:\documents and settings\profilux12\Dane aplikacji\Lexmark Productivity Studio

2010-05-13 12:13 . 2010-05-13 12:13 -------- d-----w- c:\documents and settings\profilux12\Ustawienia lokalne\Dane aplikacji\ESET

2010-05-13 12:13 . 2010-05-13 12:13 -------- d-----w- c:\documents and settings\profilux12\Dane aplikacji\ESET

2010-05-13 12:11 . 2010-05-13 12:11 -------- d-----w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\ESET

2010-05-13 12:10 . 2010-06-02 14:17 -------- d-----w- c:\program files\ESET

2010-05-13 11:38 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll

2010-05-11 13:17 . 2010-05-11 13:17 -------- d-sh--w- c:\documents and settings\profilux12\IECompatCache

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-06-02 15:24 . 2008-04-15 12:00 83880 ----a-w- c:\windows\system32\perfc015.dat

2010-06-02 15:24 . 2008-04-15 12:00 490628 ----a-w- c:\windows\system32\perfh015.dat

2010-06-02 11:49 . 2010-04-07 14:52 23016 ----a-w- c:\windows\system32\emptyregdb.dat

2010-05-24 07:11 . 2010-04-10 12:33 1 ----a-w- c:\documents and settings\profilux12\Dane aplikacji\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-05-13 11:38 . 2010-04-10 12:31 -------- d-----w- c:\program files\Java

2010-05-12 07:48 . 2010-04-21 07:59 -------- d-----w- c:\program files\Microsoft Works

2010-05-11 13:21 . 2010-04-10 10:53 23408 ----a-w- c:\documents and settings\profilux12\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2010-04-12 07:02 . 2010-04-07 14:54 76487 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2010-04-10 14:32 . 2010-04-10 14:32 -------- d-----w- c:\program files\MSBuild

2010-04-10 14:32 . 2010-04-10 14:32 -------- d-----w- c:\program files\Reference Assemblies

2010-04-10 14:22 . 2010-04-10 14:22 -------- d-----w- c:\program files\Common Files\Java

2010-04-10 14:21 . 2010-04-10 14:19 -------- d-----w- c:\program files\Google

2010-04-10 14:19 . 2010-04-10 14:19 503808 ----a-w- c:\documents and settings\profilux12\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-45f062c6-n\msvcp71.dll

2010-04-10 14:19 . 2010-04-10 14:19 499712 ----a-w- c:\documents and settings\profilux12\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-45f062c6-n\jmc.dll

2010-04-10 14:19 . 2010-04-10 14:19 348160 ----a-w- c:\documents and settings\profilux12\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-45f062c6-n\msvcr71.dll

2010-04-10 14:19 . 2010-04-10 14:19 61440 ----a-w- c:\documents and settings\profilux12\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-4ffcabd4-n\decora-sse.dll

2010-04-10 14:19 . 2010-04-10 14:19 12800 ----a-w- c:\documents and settings\profilux12\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-4ffcabd4-n\decora-d3d.dll

2010-04-10 12:32 . 2010-04-10 12:32 -------- d-----w- c:\documents and settings\profilux12\Dane aplikacji\OpenOffice.org

2010-04-10 12:31 . 2010-04-10 12:31 -------- d-----w- c:\program files\JRE

2010-04-10 12:31 . 2010-04-10 12:31 -------- d-----w- c:\program files\OpenOffice.org 3

2010-04-10 11:12 . 2010-04-10 11:12 -------- d-----w- c:\program files\MSXML 4.0

2010-04-10 10:53 . 2010-04-10 10:51 -------- d-----w- c:\program files\Lexmark 9500 Series

2010-04-07 19:08 . 2010-04-07 19:08 95872 ----a-w- c:\windows\system32\drivers\epfwtdir.sys

2010-04-07 19:08 . 2010-04-07 19:08 55232 ----a-w- c:\windows\system32\drivers\epfwtdi.sys

2010-04-07 19:08 . 2010-04-07 19:08 32584 ----a-w- c:\windows\system32\drivers\epfwndis.sys

2010-04-07 19:08 . 2010-04-07 19:08 134488 ----a-w- c:\windows\system32\drivers\epfw.sys

2010-04-07 19:07 . 2010-04-07 19:07 114984 ----a-w- c:\windows\system32\drivers\ehdrv.sys

2010-04-07 19:03 . 2010-04-07 19:03 139192 ----a-w- c:\windows\system32\drivers\eamon.sys

2010-04-07 15:14 . 2010-04-07 15:14 -------- d-----w- c:\documents and settings\profilux12\Dane aplikacji\Nero

2010-04-07 15:13 . 2010-04-07 15:11 -------- d-----w- c:\program files\Common Files\Nero

2010-04-07 15:11 . 2010-04-07 15:11 -------- d-----w- c:\program files\Nero

2010-04-07 15:11 . 2010-04-07 15:11 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Nero

2010-04-07 15:05 . 2010-04-07 15:03 -------- d-----w- c:\program files\Realtek

2010-04-07 15:05 . 2010-04-07 15:03 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-04-07 15:03 . 2010-04-07 15:03 -------- d-----w- c:\program files\Common Files\InstallShield

2010-04-07 15:00 . 2010-04-07 15:00 -------- d-----w- c:\program files\Intel

2010-04-07 14:55 . 2010-04-07 14:55 -------- d-----w- c:\program files\microsoft frontpage

2010-04-07 14:53 . 2010-04-07 14:53 -------- d-----w- c:\program files\Usługi online

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-04-10 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2008-07-09 570664]

"lxdomon.exe"="c:\program files\Lexmark 9500 Series\lxdomon.exe" [2007-09-06 450560]

"lxdoamon"="c:\program files\Lexmark 9500 Series\lxdoamon.exe" [2007-08-10 20480]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-24 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-24 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-24 137752]

"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]

"ISTray"="c:\program files\Spyware Doctor\pctsTray.exe" [2009-11-18 1243088]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-04-07 2145000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

c:\documents and settings\profilux12\Menu Start\Programy\Autostart\

OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\All Users\My applications\

Windows Defender Apps Control.exe [2010-6-2 121133]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Microsoft Works Calendar Reminders.lnk - c:\program files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe [1999-8-6 53317]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\lxdocoms.exe"=

"c:\\Program Files\\Lexmark 9500 Series\\lxdomon.exe"=

"c:\\WINDOWS\\system32\\lxdocfg.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdopswx.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdotime.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-06-02 207792]

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2010-04-07 114984]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2010-04-07 95872]

R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\Spyware Doctor\BDT\BDTUpdateService.exe [2010-06-02 112592]

R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2010-04-07 810120]

R2 lxdo_device;lxdo_device;c:\windows\system32\lxdocoms.exe -service --&--#62; c:\windows\system32\lxdocoms.exe -service [?]

R2 lxdoCATSCustConnectService;lxdoCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdoserv.exe [2010-04-10 94208]

R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2010-06-02 359624]

S2 gupdate;Usługa Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-10 135664]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2010-04-07 1684736]

--- Inne Usługi/Sterowniki w Pamięci ---

*Deregistered* - PCTSDInjDriver32

.

Zawartość folderu 'Zaplanowane zadania'

2010-06-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-10 14:21]

2010-06-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-10 14:21]

2010-06-02 c:\windows\Tasks\User_Feed_Synchronization-{70C31738-BABA-4CEF-B994-B12B96B38986}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]

.

------- Skan uzupełniający -------

.

IE: Funkcja Google Sidewiki - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-06-02 17:23

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\DirectPlay\Applications]

@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Microsoft\DirectPlay8\Applications]

@DACL=(02 0000)

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - &--#62; 'explorer.exe'(3416)

c:\windows\system32\WININET.dll

c:\program files\Spyware Doctor\pctgmhk.dll

c:\windows\system32\webcheck.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\lxdocoms.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\igfxsrvc.exe

c:\documents and settings\All Users\My applications\Windows Defender Apps Control.exe

c:\program files\Common Files\Nero\Lib\NMIndexingService.exe

c:\program files\Spyware Doctor\pctsSvc.exe

.

**************************************************************************

.

Czas ukończenia: 2010-06-02 17:27:29 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2010-06-02 15:27

Przed: 75 502 866 432 bajtów wolnych

Po: 75 424 960 512 bajtów wolnych

WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - EFF85A31566FC0E2541FBA959CBF62DE

Powstał też dodatkowy log MBR.TXT, wskazujący na rootkita w MBR:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -&--#62; CLASSPNP.SYS @ 0xba0ecf28

\Driver\ACPI -&--#62; ACPI.sys @ 0xb9f7ecb8

\Driver\atapi -&--#62; atapi.sys @ 0xb9f16852

IoDeviceObjectType -&--#62; DeleteProcedure -&--#62; ntkrnlpa.exe @ 0x805836a8

ParseProcedure -&--#62; ntkrnlpa.exe @ 0x805827e8

\Device\Harddisk0\DR0 -&--#62; DeleteProcedure -&--#62; ntkrnlpa.exe @ 0x805836a8

ParseProcedure -&--#62; ntkrnlpa.exe @ 0x805827e8

NDIS: Realtek PCIe FE Family Controller -&--#62; SendCompleteHandler -&--#62; NDIS.sys @ 0xb9de9bb0

PacketIndicateHandler -&--#62; NDIS.sys @ 0xb9df6a21

SendHandler -&--#62; NDIS.sys @ 0xb9dd487b

user & kernel MBR OK

Aktualnie:

DrWeb, A-Squared, MBAMalware, Spyware Doctor, SpyRemover w szybkim skanowaniu nic nie znalazły.

Zainstalowałem nowego Eseta, bo w starym nie można było odblokować zapory.

Na noc zapuściłem pełne skanowanie DrWeb.

Proszę o info, jakimi skryptami skończyć tą walkę.

---

I jeszcze jedno - podczas poprawiania i zapisywania tego wątku na forum wyskakuje

(ale to inny komp, na którym piszę ten post):

Skrypt na tej stronie może być zajęty lub przestał odpowiadać.
Można przerwać ten skrypt teraz lub kontynuować, by sprawdzić, czy jego wykonywanie się zakończy.

Skrypt: http://www.fixitpc.p...prettify.js:47.

Przerwij ten skrypt / Kontynuuj.

To wina kompa?

2 Czerwca 2010

Witam,

kilka dni temu przy starcie WinXP Home zaczęło nagle pojawiać się okno logowania z hasłem. I nie przyjmowało żadnych możliwych haseł.

2 programy do resetowania haseł (ActivePasswordChanger i SpotmanPowerSuite) też nie pomagały.

Tzn. resetowały hasła i już wydawało się, że będzie OK, system się ładował, ekran przeskakiwał na inną stronę,

"Trwa ładowanie ustawień osobistych", zapisywał ustawienia, ale potem znów wyskakiwało okno logowania z hasłem.

Przy użytkowniku Administrator pojawiał się komunikat: "Nie można się zalogować z powodu ograniczeń konta".

DrWeb CD-Live nie był w stanie przeskanować dysku. Załadował moduły i stop.

W końcu zrobiłem reinstalkę nakładkową przez 2.R i udało się. Hasła znikły.

Okazało się, że Eset Smart Security był już rozbrojony, bez możliwości pracy.

Zapora systemowa również.

Żadne anty-spyware się nie uruchamiały, próby ściągnięcia czegoś anty były przerywane.

Czyściłem Tempy, Temp.Int.Files, Recycle, cookies. ATF-Cleaner, CCleaner, WWDC, przywracanie systemu.

W Windows\Temp\ były 2 pliki (o takiej lub podobnej nazwie) "temporary1.exe" z wirusami. Usunąłem je ręcznie.

W końcu GMER zaczynał pracować, wskazywał na czerwono działanie rotkita i nagle stopował i reset kompa.

I tak kilka razy. Na czerwono było coś z Windows ... Defender. A zapora systemowa i w Esecie była zablokowana.

Log OTL.Extras:

OTL Extras logfile created on: 2010-06-02 16:29:44 - Run 1

OTL by OldTimer - Version 3.2.5.3 Folder = c:\Documents and Settings\profilux12.FBUH-DC790BF809\Pulpit\TOOLS

Windows XP Home Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 55,00% Memory free

4,00 Gb Paging File | 3,00 Gb Available in Paging File | 78,00% Paging File free

Paging file location(s): c:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 78,13 Gb Total Space | 70,32 Gb Free Space | 90,01% Space Free | Partition Type: NTFS

D: Drive not present or media not loaded

E: Drive not present or media not loaded

Drive F: | 3,73 Gb Total Space | 2,84 Gb Free Space | 76,25% Space Free | Partition Type: FAT32

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

Computer Name: FBUH-DC790BF809

Current User Name: profilux12

Logged in as Administrator.

Current Boot Mode: Normal

Scan Mode: All users

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Standard

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\&--#60;extension&--#62;]

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\&--#60;key&--#62;\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

"EnableFirewall" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\WINDOWS\system32\lxdocoms.exe" = C:\WINDOWS\system32\lxdocoms.exe:*:Enabled:9500 Series Server -- ( )

"C:\Program Files\Lexmark 9500 Series\lxdomon.exe" = C:\Program Files\Lexmark 9500 Series\lxdomon.exe:*:Enabled:Printer Device Monitor -- ()

"C:\WINDOWS\system32\lxdocfg.exe" = C:\WINDOWS\system32\lxdocfg.exe:*:Enabled:Printer Communication System -- ( )

"C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdopswx.exe" = C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdopswx.exe:*:Enabled:Printer Status Window Interface -- ()

"C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdotime.exe" = C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdotime.exe:*:Enabled:Lexmark Connect Time Executable -- (Lexmark International, Inc.)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer

"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer

"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 20

"{350C9415-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml

"{8BD6DD52-2F49-4E35-B678-71E1E7D286DB}" = ESET NOD32 Antivirus

"{9168BFE2-8888-11D3-AF63-00C04F443448}" = Microsoft Works 2000

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{A5CCD0C8-6D5E-4515-BDD7-2A22D5D91045}" = Nero 8 Essentials

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Browser Defender_is1" = Browser Defender 2.0.6.15

"CCleaner" = CCleaner

"CWK" = CWK (Czasowy Wyłącznik Komputera)

"HDMI" = Intel® Graphics Media Accelerator Driver

"ie8" = Windows Internet Explorer 8

"Lexmark 9500 Series" = Lexmark 9500 Series

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"SpyRemover_is1" = SpyRemover 2.72

"Spyware Doctor" = Spyware Doctor 7.0

"Totalcmd" = Total Commander (Remove or Repair)

"Windows Media Format Runtime" = Windows Media Format Runtime

========== Last 10 Event Log Errors ==========

[ Application Events ]

Error - 2010-05-06 05:04:21 | Computer Name = FBUH-DC790BF809 | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd iexplore.exe, wersja 8.0.6001.18702, moduł

powodujący błąd ntdll.dll, wersja 5.1.2600.5755, adres błędu 0x00036d7a.

Error - 2010-05-13 07:28:14 | Computer Name = FBUH-DC790BF809 | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd iexplore.exe, wersja 8.0.6001.18702, moduł

powodujący błąd flash6.ocx, wersja 6.0.88.0, adres błędu 0x000503b3.

Error - 2010-05-17 02:58:25 | Computer Name = FBUH-DC790BF809 | Source = Windows Product Activation | ID = 1000

Description = Wystąpił błąd podczas sprawdzania przez kreatora licencji bieżącego

produktu Windows. Kod błędu: 4 0x8009001d

Error - 2010-06-02 08:07:59 | Computer Name = FBUH-DC790BF809 | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd egui.exe, wersja 4.2.40.10, moduł powodujący

błąd egui.exe, wersja 4.2.40.10, adres błędu 0x000537cd.

Error - 2010-06-02 08:10:18 | Computer Name = FBUH-DC790BF809 | Source = Application Hang | ID = 1002

Description = Aplikacja zawieszająca IEXPLORE.EXE, wersja 6.0.2900.5512, moduł zawieszenia

hungapp, wersja 0.0.0.0, adres zawieszenia 0x00000000.

Error - 2010-06-02 08:35:33 | Computer Name = FBUH-DC790BF809 | Source = Application Error | ID = 1000