ESET i komunikaty "adres został zablokowany"

[MICHALDLUGOPOLSKI]

Witam!

 

Program eset smart security zaczął pokazywać: adres został zablokowany - podaje adres ip i url.

Wyczytałęm na forach, żeby użyć combofix'a...Dodam, że po przeprowadzeniu działania na combofix problemy ustąpiły.

 

Oto skan:

 

http://www.wklej.org/id/632044/

 

ComboFix 11-11-21.01 - michał 2011-11-21 19:09:19.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.510.284 [GMT 1:00]

Uruchomiony z: c:\documents and settings\michał\Pulpit\ComboFix.exe

* Rezydentny antywirus jest aktywny

.

.

Następujące pliki zostały wyłączone z działania w czasie skanowania:

c:\windows\system32\win32sta.dll

.

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Dane aplikacji\akgraaa.tmp

c:\documents and settings\All Users\Dane aplikacji\wjgraaa.tmp

c:\documents and settings\All Users\Dane aplikacji\xjgraaa.tmp

c:\documents and settings\All Users\Dane aplikacji\yjgraaa.tmp

c:\documents and settings\All Users\Dane aplikacji\zjgraaa.tmp

c:\documents and settings\maria\Dane aplikacji\facemoods.com

c:\documents and settings\maria\Ustawienia lokalne\Dane aplikacji\Skype\Phone\Skype.exe

c:\documents and settings\michał\gdvif.exe

c:\program files\facemoods.com

c:\program files\facemoods.com\facemoods\1.4.17.3\bh\facemoods.dll

c:\program files\facemoods.com\facemoods\1.4.17.3\facemoods.crx

c:\program files\facemoods.com\facemoods\1.4.17.3\facemoods.png

c:\program files\facemoods.com\facemoods\1.4.17.3\facemoodsApp.dll

c:\program files\facemoods.com\facemoods\1.4.17.3\facemoodsEng.dll

c:\program files\facemoods.com\facemoods\1.4.17.3\facemoodssrv.exe

c:\program files\facemoods.com\facemoods\1.4.17.3\facemoodsTlbr.dll

c:\program files\facemoods.com\facemoods\1.4.17.3\uninstall.exe

c:\program files\StartNow Toolbar

c:\program files\StartNow Toolbar\ReactivateFF.exe

c:\program files\StartNow Toolbar\Resources\images\engine_images.png

c:\program files\StartNow Toolbar\Resources\images\engine_maps.png

c:\program files\StartNow Toolbar\Resources\images\engine_news.png

c:\program files\StartNow Toolbar\Resources\images\engine_videos.png

c:\program files\StartNow Toolbar\Resources\images\engine_web.png

c:\program files\StartNow Toolbar\Resources\images\icon_amazon.png

c:\program files\StartNow Toolbar\Resources\images\icon_ebay.png

c:\program files\StartNow Toolbar\Resources\images\icon_facebook.png

c:\program files\StartNow Toolbar\Resources\images\icon_games.png

c:\program files\StartNow Toolbar\Resources\images\icon_msn.png

c:\program files\StartNow Toolbar\Resources\images\icon_shopping.png

c:\program files\StartNow Toolbar\Resources\images\icon_travel.png

c:\program files\StartNow Toolbar\Resources\images\icon_twitter.png

c:\program files\StartNow Toolbar\Resources\images\startnow_logo.png

c:\program files\StartNow Toolbar\Resources\installer.xml

c:\program files\StartNow Toolbar\Resources\skin\chevron_button.png

c:\program files\StartNow Toolbar\Resources\skin\searchbox_button_hover.png

c:\program files\StartNow Toolbar\Resources\skin\searchbox_button_normal.png

c:\program files\StartNow Toolbar\Resources\skin\searchbox_dropdown_button_normal.png

c:\program files\StartNow Toolbar\Resources\skin\searchbox_input_background.png

c:\program files\StartNow Toolbar\Resources\skin\searchbox_input_left.png

c:\program files\StartNow Toolbar\Resources\skin\searchbox_input_middle.png

c:\program files\StartNow Toolbar\Resources\skin\separator.png

c:\program files\StartNow Toolbar\Resources\skin\splitter.png

c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ff_hover_c.png

c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ie_hover_c.png

c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ie_hover_l.png

c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ie_hover_r.png

c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ie_normal_c.png

c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ie_normal_l.png

c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ie_normal_r.png

c:\program files\StartNow Toolbar\Resources\toolbar.xml

c:\program files\StartNow Toolbar\StartNowToolbarUninstall.exe

c:\program files\StartNow Toolbar\uninstall.dat

c:\windows\CSC\d6

c:\windows\sysdll.exe

c:\windows\system32\config\systemprofile\Dane aplikacji\facemoods.com

c:\windows\system32\msconfig.exe

c:\windows\system32\msssc.dll

c:\windows\system32\win32sta.dll

.

c:\windows\system32\midimap.dll . . . jest zainfekowany!!

.

.

((((((((((((((((((((((((( Pliki utworzone od 2011-10-21 do 2011-11-21 )))))))))))))))))))))))))))))))

.

.

2011-11-21 18:18 . 2011-11-21 18:18 -------- d-----w- c:\windows\system32\wbem\snmp

2011-11-21 18:18 . 2011-11-21 18:18 -------- d-----w- c:\windows\system32\oobe

2011-11-21 18:18 . 2011-11-21 18:18 -------- d-----w- c:\windows\srchasst

2011-11-21 18:18 . 2011-11-21 18:18 -------- d-----w- c:\windows\system32\xircom

2011-11-21 18:18 . 2011-11-21 18:18 -------- d-----w- c:\program files\microsoft frontpage

2011-11-21 17:49 . 2011-11-21 17:49 -------- d-----w- c:\program files\CCleaner

2011-11-20 13:28 . 2011-11-20 13:28 -------- d-----w- c:\documents and settings\michał\Dane aplikacji\capella-software

2011-11-20 13:28 . 2011-11-20 13:28 -------- d-----w- c:\program files\capella professional

2011-11-11 15:35 . 2011-11-11 15:35 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Trymedia

2011-11-11 15:11 . 2005-04-03 22:00 184320 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iuser.dll

2011-11-11 15:11 . 2005-04-03 22:02 69714 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\ctor.dll

2011-11-11 15:11 . 2005-04-03 22:01 274432 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iscript.dll

2011-11-11 15:11 . 2005-04-03 21:59 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe

2011-11-11 15:11 . 2005-04-03 22:02 753664 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iKernel.dll

2011-11-11 15:11 . 2011-11-11 15:11 200836 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iGdi.dll

2011-11-11 15:11 . 2011-11-11 15:11 331908 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\setup.dll

2011-11-04 13:48 . 2011-11-04 13:48 -------- d-----w- c:\program files\Common Files\DirectX

2011-11-04 13:32 . 2002-12-05 13:10 155648 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iuser.dll

2011-11-04 13:32 . 2003-02-27 15:12 696320 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iKernel.dll

2011-11-04 13:32 . 2002-12-02 14:22 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\DotNetInstaller.exe

2011-11-04 13:32 . 2002-12-02 12:33 57344 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll

2011-11-04 13:32 . 2002-12-02 12:33 237568 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iscript.dll

2011-11-04 13:32 . 2011-11-04 13:32 282756 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\setup.dll

2011-11-04 13:32 . 2011-11-04 13:32 163972 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\iGdi.dll

2011-11-03 13:05 . 2011-11-03 13:05 -------- d-----w- c:\program files\Saints Row 2

2011-11-02 18:06 . 2011-11-02 18:06 -------- d-----w- c:\program files\Ubisoft

2011-11-01 16:43 . 2011-11-01 16:43 -------- d-----w- c:\documents and settings\michał\Ustawienia lokalne\Dane aplikacji\THQ

2011-10-31 18:07 . 2011-10-31 18:07 -------- d-----w- C:\PSFONTS

2011-10-31 18:06 . 2011-11-03 13:02 -------- d-----w- c:\program files\Finale NotePad 2010

2011-10-30 14:09 . 2011-10-30 14:09 -------- d-----w- c:\program files\NAPI-PROJEKT

2011-10-30 14:08 . 2009-09-27 23:02 797184 ----a-w- c:\windows\system32\ac3filter.ax

2011-10-30 14:08 . 2007-10-07 14:36 258048 ----a-w- c:\windows\system32\libFLAC.dll

2011-10-30 14:08 . 2011-10-30 14:09 -------- d-----w- c:\program files\ALLPlayer

2011-10-30 14:03 . 2011-03-02 10:43 175616 ----a-w- c:\windows\system32\unrar.dll

2011-10-30 14:02 . 2008-09-24 18:41 839680 ----a-w- c:\windows\system32\lameACM.acm

2011-10-30 14:02 . 2011-07-16 14:17 151552 ----a-w- c:\windows\system32\ac3acm.acm

2011-10-30 14:02 . 2011-06-24 14:44 243200 ----a-w- c:\windows\system32\xvidvfw.dll

2011-10-30 14:02 . 2011-06-02 01:10 644608 ----a-w- c:\windows\system32\xvidcore.dll

2011-10-30 14:02 . 2011-10-28 08:00 74752 ----a-w- c:\windows\system32\ff_vfw.dll

2011-10-30 14:01 . 2011-10-30 14:05 -------- d-----w- c:\program files\K-Lite Codec Pack

2011-10-30 13:52 . 2011-10-30 13:52 498688 ----a-w- c:\documents and settings\All Users\nvwiz.exe

2011-10-30 09:48 . 2011-10-30 09:48 -------- d-----w- c:\documents and settings\michał\Dane aplikacji\facemoods.com

2011-10-30 08:29 . 2011-10-30 09:23 -------- d-----w- c:\program files\JDownloader

2011-10-29 19:11 . 2011-10-29 19:11 -------- d-----w- c:\program files\THQ

2011-10-29 18:34 . 2011-10-29 18:56 -------- d-----w- c:\program files\EA Sports

2011-10-29 18:34 . 2007-04-30 14:29 49152 ----a-w- c:\program files\Mozilla Firefox\plugins\np32dsw.dll

2011-10-29 16:17 . 2011-10-29 16:17 -------- d-----w- c:\documents and settings\michał\Ustawienia lokalne\Dane aplikacji\uTorrent

2011-10-27 11:05 . 2011-10-27 11:05 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Skype

2011-10-24 13:19 . 2011-11-13 09:24 -------- d-----w- c:\documents and settings\michał\Dane aplikacji\uTorrent

.

.

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-10-15 13:37 . 2011-10-15 13:37 98304 ----a-w- c:\windows\system32\CmdLineExt.dll

2011-10-13 20:29 . 2011-10-13 20:29 42392 ----a-w- c:\windows\system32\xfcodec.dll

2011-10-05 18:46 . 2011-10-05 18:46 74752 ----a-w- c:\windows\cadkasdeinst01e.exe

2011-10-05 18:18 . 2011-10-05 18:18 75776 ----a-w- c:\windows\cadkasdeinst01pol.exe

2011-10-02 17:18 . 2011-10-02 17:18 371272 ----a-r- c:\documents and settings\maria\Dane aplikacji\Microsoft\Installer\{AA59DDE4-B672-4621-A016-4C248204957A}\SkypeIcon.exe

2011-09-26 18:10 . 2011-09-19 14:39 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-09-20 12:20 . 2011-09-20 12:20 685816 ----a-w- c:\windows\system32\drivers\sptd.sys

2011-11-21 17:50 . 2011-11-21 17:50 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2008-12-31 . 030DC4D48CC2B894FEE2F390D8E66AD5 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys

.

[-] 2008-12-31 16:58 . 4678172D19476FA7D539682FCA42C942 . 1420800 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll

.

[-] 2008-12-31 . 335813EACD16E84F3047A3326F6E5473 . 549888 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

.

[-] 2008-12-31 . 37ED43F3DEC4400586554D61C3129478 . 112128 . . [5.4.3790.5512] . . c:\windows\system32\wuauclt.exe

.

[-] 2008-12-31 . 7F059A93D251284A8BC758327ECD3D69 . 724992 . . [5.82] . . c:\windows\system32\comctl32.dll

[7] 2008-04-14 . 737739FACEAD60683AA8D7FF7602FD14 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll

[7] 2001-08-18 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

.

[-] 2007-07-11 . FEA70ACDBFE988660FDE426941ABFC2C . 642560 . . [5.1.2600.3099] . . c:\windows\system32\user32.dll

.

[-] 2008-12-31 . 88348F8C92C28BA99FE49BD392100CE0 . 920064 . . [7.00.5730.13] . . c:\windows\system32\wininet.dll

.

[-] 2008-12-31 . BDA7A4169BF5E1F3EE76B017396E4F47 . 1553408 . . [6.00.2900.5512] . . c:\windows\explorer.exe

.

[-] 2008-04-14 . 6D80898D552439B00B2AB651C4B60C3A . 270336 . . [5.1.2600.5512] . . c:\windows\regedit.exe

.

.

.

.

[-] 2008-12-31 . 572B0A653990AFE6B71D38D7DD2F202D . 370688 . . [5.1.2600.5512] . . c:\windows\system32\hnetcfg.dll

.

[-] 2008-12-31 . D7A09FA4882D09DE80D55562356CD516 . 2069632 . . [5.1.2600.5657] . . c:\windows\system32\ntkrnlpa.exe

.

.

[-] 2008-12-23 . D58ECB038A8F2F7D20181370FDB3BDF7 . 2192640 . . [5.1.2600.5512] . . c:\windows\system32\ntoskrnl.exe

.

[-] 2008-12-31 . 193B2DEA1AB15B511DDBB8E01E034477 . 42496 . . [5.1.2600.5512] . . c:\windows\system32\midimap.dll

.

c:\windows\System32\ctfmon.exe ... - brak elementu !!

c:\windows\System32\wscntfy.exe ... - brak elementu !!

c:\windows\System32\regsvc.dll ... - brak elementu !!

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DF925EF3-7A87-44E4-9CAF-8D7B280BF616}]

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"uTorrent"="c:\documents and settings\michał\Pulpit\utorrent.exe" [2011-10-24 646008]

"nvwiz"="c:\documents and settings\All Users\nvwiz.exe" [2011-10-30 498688]

"ALLUpdate"="c:\program files\ALLPlayer\ALLUpdate.exe" [2011-08-16 1379840]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]

"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-02-20 1443072]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]

"nwiz"="nwiz.exe" [2008-05-03 1630208]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]

"BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2011-08-15 1955208]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"_nltide_2"="shell32" [X]

"_nltide_3"="advpack.dll" [2008-12-31 123904]

.

c:\documents and settings\michał\Menu Start\Programy\Autostart\

OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

.

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Gadu-Gadu 10\\gg.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

"c:\\Documents and Settings\\michał\\Pulpit\\utorrent.exe"=

.

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2011-09-20 685816]

R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2008-02-20 472320]

R3 ZSMC302;VIMICRO USB PC Camera;c:\windows\system32\drivers\usbVM31b.sys [2011-09-20 90568]

S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2011-08-15 1361288]

S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [2008-12-31 25600]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-17 7168]

S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [2011-10-11 10976]

.

--- Inne Usługi/Sterowniki w Pamięci ---

.

*NewlyCreated* - HELPSVC

.

Zawartość folderu 'Zaplanowane zadania'

.

2011-11-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1547161642-1326574676-1644491937-1006Core.job

- c:\documents and settings\maria\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2011-10-02 17:34]

.

2011-11-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1547161642-1326574676-1644491937-1006UA.job

- c:\documents and settings\maria\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2011-10-02 17:34]

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111030&user_guid=9CE353D8803649ADA1E4695397C1154B&machine_id=401b6e5c543cf4aa2003cf0265993151&browser=IE&os=win&os_version=5.1-x86-SP3

.

- - - - USUNIĘTO PUSTE WPISY - - - -

.

HKCU-Run-sysdll.exe - c:\windows\sysdll.exe

HKCU-Run-Crystal.exe - c:\documents and settings\michał\Dane aplikacji\Crystal.exe

HKLM-Run-facemoods - c:\program files\facemoods.com\facemoods\1.4.17.3\facemoodssrv.exe

AddRemove-facemoods - c:\program files\facemoods.com\facemoods\1.4.17.3\uninstall.exe

AddRemove-StartNow Toolbar - c:\program files\StartNow Toolbar\StartNowToolbarUninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-11-21 19:19

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

.

skanowanie ukrytych procesów ...

.

skanowanie ukrytych wpisów autostartu ...

.

skanowanie ukrytych plików ...

.

skanowanie pomyślnie ukończone

ukryte pliki: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]

"ImagePath"="\??\c:\program files\Lavalys\EVEREST Home Edition\kerneld.wnt"

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

.

- - - - - - - > 'winlogon.exe'(972)

c:\windows\system32\sfc_os.dll

c:\windows\system32\cscui.dll

.

- - - - - - - > 'lsass.exe'(1028)

c:\windows\system32\scecli.dll

.

- - - - - - - > 'explorer.exe'(1092)

c:\windows\system32\SHDOCVW.dll

c:\windows\system32\COMRes.dll

c:\windows\System32\cscui.dll

c:\windows\system32\LINKINFO.dll

c:\windows\system32\ntshrui.dll

c:\windows\system32\msi.dll

c:\windows\system32\ieframe.dll

c:\windows\system32\NETSHELL.dll

c:\windows\system32\credui.dll

c:\windows\system32\MSVCP60.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Analog Devices\SoundMAX\SMAgent.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\RUNDLL32.EXE

.

**************************************************************************

.

Czas ukończenia: 2011-11-21 19:24:12 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2011-11-21 18:24

.

Przed: 11 711 508 480 bajtów wolnych

Po: 12 816 957 440 bajtów wolnych

.

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - 9FC7795D09230CC6C492E2CF108518D7

[picasso]

Nie przeczytałeś zasad działu (i jeszcze masz wątpliwości czy w dobrym napisałeś...): KLIK. Tytuł nieodpowiedni (edytuję), zestaw raportów nieodpowiedni (uzupełnij). Obowiązkowe logi to OTL + GMER. ComboFix to nie jest narzędzie domowego użytku do "tworzenia raportu": KLIK. Jego log proszę już zostaw, bo musi być wiadome co robił, ale dostarcz także obowiązkowe logi. Forma prezentacji: Załączniki forum.

[MICHALDLUGOPOLSKI]

Oto skany z otl - skany z z gmer dodam za chwilę (trwa skanowanie)

OTL.Txt

Extras.Txt

[picasso]

Na temat pracy ComboFix: posiadasz modyfikowany XP (zrobiony przez kogoś innego i sztucznie przetworzony), ComboFix na takich zarówno nie widzi poprawnie pewnych rzeczy (np. "c:\windows\system32\midimap.dll . . . jest zainfekowany!!" to jest fałsz), jak i czyni "szkody", ponieważ zawsze bierze pod uwagę tylko domyślne parametry systemu a nie wydumane lokalizacje. Skutki: poleciał systemowy msconfig, gdyż na modyfikowanym Windows leży w nieprawidłowej lokalizacji (C:\Windows\system32 a nie C:\Windows\pchealth\helpctr\binaries). Przy okazji, skutek uboczny modyfikowanego systemu i niedokładnych operacji z usuwaniem komponentów, to pewnie i te błędy usług Centrum zabezpieczeń i Pomocy (pliki nie istnieją, ale usług nie wyłączono):

 

Error - 2011-11-22 08:55:15 | Computer Name = COA12 | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi helpsvc z powodu następującego błędu:   %%2
 
Error - 2011-11-22 08:55:15 | Computer Name = COA12 | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi wscsvc z powodu następującego błędu:   %%1083

 

Ogólnie na temat tego co widzę apropos zanieczyszczeń: infekcja nie jest wyczyszczona do końca, masz także składniki infekcji Qooqlle (nabyta z torrent w paczce z lewymi kodekami). ComboFix usuwał także dodatki adware (to nie infekcje, lecz śmieci), takie jak Facemoods i StartNow Toolbar, ale nie wykazał się tu precyzją i nadal są na dysku obiekty od tego (głównie w preferencjach Firefox). Wymagana poprawka na to wszystko.

 

 

---

1. Odzyskaj skasowany msconfig. Zmień nazwę pliku C:\Qoobox\Quarantine\C\Windows\system32\msconfig.exe.vir usuwając przyrostek *.vir, plik przenieś z powrotem do katalogu C:\Windows\system32.

 

2. Poprawki na resztki infekcji i adware. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\nvwiz.exe
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml
C:\Documents and Settings\michał\Dane aplikacji\Mozilla\Firefox\Profiles\7y10hllp.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}
C:\Documents and Settings\michał\Dane aplikacji\Mozilla\Firefox\Profiles\7y10hllp.default\extensions\ffxtlbr@Facemoods.com
C:\Documents and Settings\michał\Dane aplikacji\facemoods.com
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nvwiz"=-
"Crystal.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000004
 
:OTL
FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111030&user_guid=9CE353D8803649ADA1E4695397C1154B&machine_id=401b6e5c543cf4aa2003cf0265993151&browser=FF&os=win&os_version=5.1-x86-SP3&q="
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

3. Do oceny wystarczy mi: log z wynikami usuwania + log z AD-Remover z opcji Scan.

 

 

 

.

[MICHALDLUGOPOLSKI]

Mam windowsa xp dt 09. Polecenia wykonam jutro i dodam log z gmer ponieważ pisze ze smartfona.

[picasso]

To nie jest tak istotne co to za "edycja", ja Ci po prostu wskazuję, że przez to, iż to jest przeróbka (Windows nie ma standardowych parametrów) występują skutki uboczne.

[MICHALDLUGOPOLSKI]

Witam zrobiłem wszystko tak jak napisałeś, tyle że plik msconfig.exe pobrałem z internetu ponieważ usunąłem combofixa i nie miałem podanej przez ciebie ścieżki.

 

oto logi:

11232011_154602.txt

Ad-Report-SCAN1.txt

[picasso]

Jest wymagana drobna poprawka na śmieci, które ujawnił AD-Remover.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"Tabs"="res://ieframe.dll/tabswelcome.htm"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}]
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\Trymedia

 

Klik w Wykonaj skrypt. Tym razem pójdzie szybciej i bez restartu.

 

2. Przedstaw tylko log z usuwania OTL.

 

 

 

Witam zrobiłem wszystko tak jak napisałeś, tyle że plik msconfig.exe pobrałem z internetu ponieważ usunąłem combofixa i nie miałem podanej przez ciebie ścieżki.

 

Apropos napisałeś > napisałam. I to co zrobiłeś (jak mniemam usunięcie tylko ComboFix.exe i Qoobox) jest nieprawidłową metodą usuwania ComboFix, to nie usuwa wszystkich składników narzędzia. Należy poprawić po Twoich akcjach. Proszę pobierz ComboFix.exe ponownie na Pulpit, Start > Uruchom > wklej komendę:

 

"C:\Documents and settings\michał\Pulpit\ComboFix.exe" /uninstall

 

 

 

 

.

[MICHALDLUGOPOLSKI]

Niestety ale się myliłaś... Combo fixa usunąłem poprzez wiersz poleceń...

[picasso]

To wyrażaj się precyzyjnie. A gdzie log z ostatniego usuwania OTL?

[MICHALDLUGOPOLSKI]

Oto on :

 

Dodam, po przeprowadzonej akcji internet nie działa...nie odnaleziono serwera w każdej przeglądarce.......

11242011_172242.txt

Edytowane 24 Listopada 2011 przez picasso
Posty połączone. //picasso

[picasso]

Proszę korzystaj z funkcji "Edytuj", gdy chcesz uzupełnic wypowiedź o nowe dane, a nikt jeszcze nie odpisał pod Tobą, zamiast tworzyć X postów w ciągu. Posty łączę.

 

 

Dodam, po przeprowadzonej akcji internet nie działa...nie odnaleziono serwera w każdej przeglądarce.......

 

Moje operacje nie mają z tym terenem żadnego związku, a widać to po zawartości skryptów i typie usuwanych obiektów. Jedyne narzędziem, które grzebało w tym terenie, to ComboFix. Nie zgłaszałeś jednak tego problemu bezpośrednio po jego użyciu. Tak więc, albo znów niedokładna komunikacja, albo stało się coś jeszcze czego raporty nie przedstawiają. I nadal nie dodałeś zaległego loga z GMER. Poproszę o nową serię logów: OTL na świeżo zrobiony + GMER na świeżo zrobiony.

 

 

 

.

[MICHALDLUGOPOLSKI]

Dobra internet dział, pewnie problemy z portami były. Skany wykonam jutro...

[picasso]

W takiej sytuacji logi nie są mi potrzebne. Należy jednak dokończyć detale w temacie:

 

1. Odinstaluj AD-Remover i użyj Sprzątanie w OTL.

 

2. Zaktualizuj oprogramowanie:

 

Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 26
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"Gadu-Gadu 10" = Gadu-Gadu 10
"Mozilla Firefox 8.0 (x86 pl)" = Mozilla Firefox 8.0 (x86 pl)

 

- Szczegóły aktualizacyjne: INSTRUKCJE. Szybkie uwagi: aktualizacja IE istotna bez względu na używanie Firefox jako pojazdu (silnik IE i tak jest na chodzie), są dwie wersje Flash do aktualizacji (dla IE i Firefox), a Javę maksymalnie możesz podbić do wersji Java 6 Update 29 (ze względu na obecność OpenOffice.org).

- Osobny przypadek to Gadu. Zawsze gdy widzę tego komercyjnego potwora w wersji 10, sugeruję rozszerzenie horyzontu na alternatywę: Darmowe komunikatory. Te które się liczą: AQQ, Kadu, WTW, Miranda.

 

 

Infekcje usunięte, defekt sieci okazał się niepermanentny, potwierdź więc, że już wszystko gra i nic więcej nie wymaga napraw.

 

 

.

[MICHALDLUGOPOLSKI]

A jak wykonać tą aktualizację?

[picasso]

A jak wykonać tą aktualizację?

 

Przecież przekierowałam do instrukcji na forum, gdzie są linki pobierania oraz wyjaśnione aspekty z instalacją Adobe Flash i Java. Z czym konkretnie masz problem?

[MICHALDLUGOPOLSKI]

Witam mam nowy problem..Podczas pracy kursor "się zacina" tzn. sam jego "obrazek" stoi w miejscu, a "niewidzialny" kursor dalej porusza się po ekranie (wiem bo widać zaznaczenie elementów np. start).

 

A oto zaległy log z gmer:

gmer.txt

[picasso]

W logu z GMER nic podejrzanego, ale zrobiłeś go w nieprawidłowych warunkach (przy czynnym sterowniku SPTD od emulatora napędów wirtualnych). A skoro:

 

mam nowy problem..Podczas pracy kursor "się zacina" tzn. sam jego "obrazek" stoi w miejscu, a "niewidzialny" kursor dalej porusza się po ekranie (wiem bo widać zaznaczenie elementów np. start).

 

... to dorzuć jednak nowe logi z OTL. Czy jednak sprawdzałeś pod kątem zacinania pracujące procesy, a pierwszy z brzegu to ESET?

 

 

 

.

[MICHALDLUGOPOLSKI]

Oto logi:

Extras.Txt

OTL.Txt

[picasso]

1. Z tych logów nie wynika nic nowego pod kątem ostatniego problemu, ale widzę, że wstawiłeś błędnie plik msconfig:

 

[2011-11-23 15:43:29 | 000,171,520 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msconfig.exe.exe

 

Masz wyłączone pokazywanie rozszerzeń i stworzyłeś kuriozum z podwójnym rozszerzeniem. Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz "Ukrywaj rozszerzenia dla znanych typów plików", popraw nazwę pliku usuwając nadwyżkowy fragment.

 

2. Na temat zacinania systemu (kursor to pewnie tylko wizualizacja problemu), zweryfikuj czy przypadkiem nie wystąpiła degradacja szybkości transferu dysku z DMA do PIO: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Zwracasz uwagę na "bieżący tryb transferu".

 

 

 

.

[MICHALDLUGOPOLSKI]

Mam włączone dma a mysz i tak zacina.

[picasso]

Zakładam, że sprawdziłeś linię "bieżący ...". Sprawdź czy problem występuje w układzie tzw. czystego rozruchu: KB331796. Upewnij się, że problemu nie generuje Twój stary (na dokładkę krakowany) ESET Smart Security (czyli: testowa deinstalacja, tylko to daje pewność).

[MICHALDLUGOPOLSKI]

Mam wykonać czysty rozruch? Eset działa normalnie - deinstalowałem i problem nadal jest.

[picasso]

Tak, masz to wykonać i przedstawić czy jest różnica w takim trybie. To jest test, czy dodane wtórnie procesy mają związek. Czysty rozruch jest odwracalny, wystarczy po ukończeniu testu postąpić odwrotnie niż instrukcja, na powrót aktywując to co wyłączyłeś.

[MICHALDLUGOPOLSKI]

Witam.

 

Przepraszam, że tak długo nie odpowiadałem ale nie miałem dostępu do komputera. Wykonałem czysty rozruch lecz mysz i tak lekko cięła trochę mniej niż poprzednio. Niestety muzyczka przy starcie windows cięła się okropnie. Odinstalowałem Eset smart secrurity i także trochę lepiej chodzi lecz problem z myszą i muzyczką ( także filmy na youtube itp ) pozostał. Zainstalowałem AVG zamiast Eset.