Skocz do zawartości


tablety.pl
Zdjęcie
- - - - -

Zamykanie explorer.exe




  • Zamknięty Temat jest zamknięty
19 odpowiedzi w tym temacie

#1 Ridis

Ridis

    First Rank

  • Użytkownicy
  • 43 postów
  • Płeć:Mężczyzna

Napisano 28 04 2008 - 13:10

Witam. Mam wirusa explorer.exe . Jak go usunąc? Przez niego znika mi pasek zadań i pulpit. Kaspersky mi go wykryl i niby usunal ale i tak dalej mi pulpit znika. Pasek zadań i pulpit wlanczam za pomocą menadżera zadan: Aplikacje>Nowe zadanie...>explorer.exe
Ponad to jak loguje sie do Windowsa po wladowaniu systemu mam tapete na ktorej jest napisane:
Spyware detected
Please install an antivirus to clean your computer...

Zamieszczam loga bez wlasnorecznie wlaczonego explorera:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14:09:33, on 2008-04-28
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\DoubleDesktop\dd.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
C:\Documents and Settings\Piotrek\Pulpit\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearsh...ar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
R3 - URLSearchHook: free-downloads.net Toolbar - {d3e23b4b-f153-4687-82c2-816319dd3c5a} - C:\Program Files\free-downloads\tbfre0.dll (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36A361A8-8EA9-4A2C-87DC-17F3176501A8} - C:\WINDOWS\System32\awtqnkhe.dll (file missing)
O2 - BHO: Ofb1 - {3E1500AC-87A5-416b-A211-82E848649DA9} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccbYQgg.dll
O2 - BHO: (no name) - {74872D4E-F655-4791-A226-4E48C383B3FC} - C:\WINDOWS\System32\nnnnNfdE.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: free-downloads.net Toolbar - {d3e23b4b-f153-4687-82c2-816319dd3c5a} - C:\Program Files\free-downloads\tbfre0.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: free-downloads.net Toolbar - {d3e23b4b-f153-4687-82c2-816319dd3c5a} - C:\Program Files\free-downloads\tbfre0.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SysCtrl] C:\WINDOWS\System32\sys34.exe
O4 - HKLM\..\Run: [Svchost] C:\windows\system\svchost.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\System32\ctfmona.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [XPRepairPro2007] C:\Program Files\XP Repair Pro 2007\XPRepairPro.exe /r
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: explorer.lnk = C:\WINDOWS\explorer.exe
O4 - Global Startup: ATI CATALYST – pasek zadań.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DoubleDesktop.lnk = C:\Program Files\DoubleDesktop\dd.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://edits.mywebse...html?p=ZJfox000
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.mac...ash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: fccbyqgg - C:\WINDOWS\SYSTEM32\fccbYQgg.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Dokumenty\Settings\partnership.dll (file missing)
O21 - SSODL: KOiunYhro - {F82FDB38-5285-7192-61C8-43F0C5ADF06E} - C:\WINDOWS\system32\yqj.dll
O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

--
End of file - 8083 bytes

#2 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 28 04 2008 - 13:19

Co to za marny log? Na przyszłość = ZASADY.

Mam wirusa explorer.exe . Jak go usunąc? Przez niego znika mi pasek zadań i pulpit. Kaspersky mi go wykryl i niby usunal ale i tak dalej mi pulpit znika. Pasek zadań i pulpit wlanczam za pomocą menadżera zadan: Aplikacje>Nowe zadanie...>explorer.exe
Ponad to jak loguje sie do Windowsa po wladowaniu systemu mam tapete na ktorej jest napisane:
Spyware detected
Please install an antivirus to clean your computer...


Infekcja jest. Proszę o log z ComboFix.

#3 Ridis

Ridis

    First Rank

  • Użytkownicy
  • 43 postów
  • Płeć:Mężczyzna

Napisano 28 04 2008 - 14:20

Log z ComboFix:

ComboFix 08-04-27.2 - Piotrek 2008-04-28 14:53:54.1 - NTFSx86
Running from: C:\Documents and Settings\Piotrek\Pulpit\Combo-Fix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\d.exe
C:\Documents and Settings\Piotrek\Dane aplikacji\FunWebProducts
C:\Documents and Settings\Piotrek\Dane aplikacji\FunWebProducts\Data\Piotrek\avatar.dat
C:\Program Files\FunWebProducts
C:\Program Files\FunWebProducts\ScreenSaver\Images\01A8F9F2.urr
C:\Program Files\internet explorer\msimg32.dll
C:\Program Files\MyWebSearch
C:\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL
C:\Program Files\MyWebSearch\bar\1.bin\M3PLUGIN.DLL
C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3BKGERR.JPG
C:\Program Files\MyWebSearch\bar\2.bin\F3BROVLY.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3CJPEG.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3DTACTL.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3HISTSW.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3HTMLMU.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3HTTPCT.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3IMSTUB.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3POPSWT.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3PSSAVR.SCR
C:\Program Files\MyWebSearch\bar\2.bin\F3REPROX.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3RESTUB.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3SCHMON.EXE
C:\Program Files\MyWebSearch\bar\2.bin\F3SCRCTR.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3SHLLVW.DLL
C:\Program Files\MyWebSearch\bar\2.bin\F3SPACER.WMV
C:\Program Files\MyWebSearch\bar\2.bin\F3WALLPP.DAT
C:\Program Files\MyWebSearch\bar\2.bin\F3WPHOOK.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3FFXTBR.JAR
C:\Program Files\MyWebSearch\bar\2.bin\M3FFXTBR.MANIFEST
C:\Program Files\MyWebSearch\bar\2.bin\M3HTML.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3IDLE.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3IMPIPE.EXE
C:\Program Files\MyWebSearch\bar\2.bin\M3MSG.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3NTSTBR.JAR
C:\Program Files\MyWebSearch\bar\2.bin\M3NTSTBR.MANIFEST
C:\Program Files\MyWebSearch\bar\2.bin\M3OUTLCN.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3PLUGIN.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3SKIN.DLL
C:\Program Files\MyWebSearch\bar\2.bin\M3SKPLAY.EXE
C:\Program Files\MyWebSearch\bar\2.bin\M3SLSRCH.EXE
C:\Program Files\MyWebSearch\bar\2.bin\M3SRCHMN.EXE
C:\Program Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE
C:\Program Files\MyWebSearch\bar\2.bin\MWSOEPLG.DLL
C:\Program Files\MyWebSearch\bar\2.bin\MWSOESTB.DLL
C:\Program Files\MyWebSearch\bar\2.bin\NPMYWEBS.DLL
C:\Program Files\MyWebSearch\bar\Avatar\COMMON.F3S
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\avatar.htm
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\bgfadel.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\bgfader.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\common-x.css
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\common.css
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\cornerbl.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\cornerbr.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\ext_def.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\ext_roll.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\include.js
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\index.htm
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\loader.htm
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\loading.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\logo.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\max_def.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\max_roll.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\min_def.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\min_roll.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\noflash.htm
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\res_def.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\res_roll.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\spacer.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\spacer.swf
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\topgrad.gif
C:\Program Files\MyWebSearch\bar\Avatar\COMMON\window.ico
C:\Program Files\MyWebSearch\bar\Cache\000A2692
C:\Program Files\MyWebSearch\bar\Cache\00563083.bin
C:\Program Files\MyWebSearch\bar\Cache\005632E5.bin
C:\Program Files\MyWebSearch\bar\Cache\005636EC.bin
C:\Program Files\MyWebSearch\bar\Cache\0056461E.bin
C:\Program Files\MyWebSearch\bar\Cache\00564A35.bin
C:\Program Files\MyWebSearch\bar\Cache\files.ini
C:\Program Files\MyWebSearch\bar\Game\CHECKERS.F3S
C:\Program Files\MyWebSearch\bar\Game\CHESS.F3S
C:\Program Files\MyWebSearch\bar\Game\REVERSI.F3S
C:\Program Files\MyWebSearch\bar\History\search2
C:\Program Files\MyWebSearch\bar\icons\CM.ICO
C:\Program Files\MyWebSearch\bar\icons\MFC.ICO
C:\Program Files\MyWebSearch\bar\icons\PSS.ICO
C:\Program Files\MyWebSearch\bar\icons\SMILEY.ICO
C:\Program Files\MyWebSearch\bar\icons\WB.ICO
C:\Program Files\MyWebSearch\bar\icons\ZWINKY.ICO
C:\Program Files\MyWebSearch\bar\Message\COMMON.F3S
C:\Program Files\MyWebSearch\bar\Notifier\COMMON.F3S
C:\Program Files\MyWebSearch\bar\Notifier\DOG.F3S
C:\Program Files\MyWebSearch\bar\Notifier\FISH.F3S
C:\Program Files\MyWebSearch\bar\Notifier\KUNGFU.F3S
C:\Program Files\MyWebSearch\bar\Notifier\LIFEGARD.F3S
C:\Program Files\MyWebSearch\bar\Notifier\MAID.F3S
C:\Program Files\MyWebSearch\bar\Notifier\MAILBOX.F3S
C:\Program Files\MyWebSearch\bar\Notifier\OPERA.F3S
C:\Program Files\MyWebSearch\bar\Notifier\ROBOT.F3S
C:\Program Files\MyWebSearch\bar\Notifier\SEDUCT.F3S
C:\Program Files\MyWebSearch\bar\Notifier\SURFER.F3S
C:\Program Files\MyWebSearch\bar\Settings\prevcfg2.htm
C:\Program Files\MyWebSearch\bar\Settings\s_pid.dat
C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
C:\Program Files\Ofb1
C:\WINDOWS\hosts
C:\WINDOWS\system32\EdfNnnnn.ini
C:\WINDOWS\system32\EdfNnnnn.ini2
C:\WINDOWS\system32\ehknqtwa.ini
C:\WINDOWS\system32\ehknqtwa.ini2
C:\WINDOWS\system32\f3PSSavr.scr
C:\WINDOWS\system32\fccbYQgg.dll
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\nnnnNfdE.dll
C:\WINDOWS\system32\svchost.t__
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\Temp\1442275181.exe
C:\WINDOWS\Temp\154474918.exe
C:\WINDOWS\Temp\1739026704.exe
C:\WINDOWS\Temp\1898163153.exe
C:\WINDOWS\Temp\2049328156.exe
C:\WINDOWS\Temp\237306755.exe
C:\WINDOWS\Temp\25164800.exe
C:\WINDOWS\Temp\423860472.exe
C:\WINDOWS\Temp\50562708.exe
C:\WINDOWS\Temp\586454915.exe
C:\wxebxbo.exe

.
((((((((((((((((((((((((( Files Created from 2008-03-28 to 2008-04-28 )))))))))))))))))))))))))))))))
.

2008-04-28 13:29 . 2008-04-22 20:50 <DIR> d-------- C:\WINDOWS\system32\SmitfraudFix
2008-04-28 13:16 . 2008-04-28 13:42 3,756 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-28 13:15 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-28 13:15 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-28 13:15 . 2008-04-24 08:10 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-28 13:15 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-28 13:15 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-04-28 13:15 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-28 13:15 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-28 13:15 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-28 13:14 . 2008-04-28 13:19 <DIR> d-------- C:\Documents and Settings\Piotrek\SmitfraudFix
2008-04-28 12:52 . 2008-04-28 13:40 250 --a------ C:\WINDOWS\gmer.ini
2008-04-28 11:39 . 2008-04-28 12:00 <DIR> d-------- C:\Program Files\PC Doc Pro
2008-04-28 11:39 . 2001-08-17 00:00 494,352 --a------ C:\WINDOWS\system32\SHDOC401.DLL
2008-04-28 11:39 . 2000-05-22 15:58 83,144 --a------ C:\WINDOWS\system32\PICCLP32.OCX
2008-04-28 11:39 . 2007-12-19 16:12 53,248 --a------ C:\WINDOWS\system32\ArmAccess.dll
2008-04-28 09:05 . 2008-04-28 09:31 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-28 09:05 . 2008-04-28 09:31 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-28 09:03 . 2008-04-28 09:03 <DIR> d-------- C:\Program Files\Kaspersky Lab
2008-04-28 09:03 . 2008-04-28 15:08 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-04-28 09:03 . 2008-04-28 15:10 582,432 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-28 09:03 . 2008-04-28 15:03 12,320 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-28 09:03 . 2008-04-28 15:02 10,940 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-28 09:03 . 2008-04-28 15:02 2,180 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-26 16:21 . 2008-04-26 16:22 <DIR> d-------- C:\Program Files\XP Repair Pro 2007
2008-04-26 16:01 . 2008-04-26 16:01 <DIR> d-------- C:\Program Files\Error Repair Professional
2008-04-26 15:50 . 2008-04-26 15:50 <DIR> d-------- C:\Program Files\Octopus
2008-04-26 13:12 . 2006-11-10 12:13 <DIR> d--h----- C:\Documents and Settings\Luzny\Ustawienia lokalne
2008-04-26 13:12 . 2006-11-10 12:13 <DIR> d-------- C:\Documents and Settings\Luzny\Ulubione
2008-04-26 13:12 . 2006-11-10 20:29 <DIR> d--h----- C:\Documents and Settings\Luzny\Szablony
2008-04-26 13:12 . 2006-11-10 12:13 <DIR> d-------- C:\Documents and Settings\Luzny\Pulpit
2008-04-26 13:12 . 2006-11-10 12:13 <DIR> d-------- C:\Documents and Settings\Luzny\Moje dokumenty
2008-04-26 13:12 . 2006-11-10 12:13 <DIR> dr------- C:\Documents and Settings\Luzny\Menu Start
2008-04-26 13:12 . 2006-11-10 12:13 <DIR> dr-h----- C:\Documents and Settings\Luzny\Dane aplikacji
2008-04-26 13:12 . 2008-04-26 13:12 <DIR> d-------- C:\Documents and Settings\Luzny
2008-04-26 13:12 . 2008-04-28 14:38 1,024 --ah----- C:\Documents and Settings\Luzny\ntuser.dat.LOG
2008-04-26 13:08 . 2008-04-26 13:08 <DIR> d-------- C:\Program Files\ElastoManiaRegistered
2008-04-24 20:32 . 2006-11-10 12:13 <DIR> d--h----- C:\Documents and Settings\Administrator\Ustawienia lokalne
2008-04-24 20:32 . 2006-11-10 12:13 <DIR> d-------- C:\Documents and Settings\Administrator\Ulubione
2008-04-24 20:32 . 2006-11-10 20:29 <DIR> d--h----- C:\Documents and Settings\Administrator\Szablony
2008-04-24 20:32 . 2006-11-10 12:13 <DIR> d-------- C:\Documents and Settings\Administrator\Pulpit
2008-04-24 20:32 . 2006-11-10 12:13 <DIR> d-------- C:\Documents and Settings\Administrator\Moje dokumenty
2008-04-24 20:32 . 2006-11-10 12:13 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start
2008-04-24 20:32 . 2006-11-10 12:13 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dane aplikacji
2008-04-24 20:32 . 2008-04-24 20:32 <DIR> d-------- C:\Documents and Settings\Administrator
2008-04-24 20:32 . 2008-04-28 14:38 1,024 --ah----- C:\Documents and Settings\Administrator\ntuser.dat.LOG
2008-04-24 19:29 . 2008-04-28 09:16 269,334 --a------ C:\WINDOWS\system32\ctfmonb.bmp
2008-04-24 19:29 . 2008-04-24 19:29 268,660 --a------ C:\WINDOWS\system32\vkay550.exe
2008-04-24 19:29 . 2008-04-24 19:34 160,256 --a------ C:\WINDOWS\system32\blackster.scr
2008-04-24 19:29 . 2008-04-24 19:29 18,432 --a------ C:\WINDOWS\system32\vkay472.exe
2008-04-24 19:29 . 2008-04-24 19:29 29 --a------ C:\WINDOWS\system32\wqassaqw.tmp
2008-04-24 19:29 . 2008-04-24 19:29 0 --a------ C:\6BB.tmp
2008-04-24 19:29 . 2008-04-24 19:29 0 --a------ C:\6BA.tmp
2008-04-24 19:29 . 2008-04-24 19:29 0 --a------ C:\6B9.tmp
2008-04-24 19:29 . 2008-04-24 19:29 0 --a------ C:\6B8.tmp
2008-04-24 19:29 . 2008-04-24 19:29 0 --a------ C:\6B3.tmp
2008-04-24 19:28 . 2008-04-24 19:28 14,848 --a------ C:\WINDOWS\system32\vkay523.exe
2008-04-24 19:28 . 2008-04-24 19:28 4,096 --a------ C:\gseag.exe
2008-04-24 19:28 . 2008-04-24 19:28 2 --a------ C:\-131081417
2008-04-24 19:27 . 2008-04-24 19:30 1 --a------ C:\WINDOWS\system32\tsfuic.tmp
2008-04-24 19:26 . 2008-04-28 09:37 49,152 --a------ C:\Documents and Settings\Piotrek\svchosts.exe
2008-04-24 19:26 . 2008-04-24 19:26 3,001 --a------ C:\Documents and Settings\Piotrek\ie_updates3r.exe
2008-04-23 13:40 . 2008-04-23 13:40 <DIR> d-------- C:\Program Files\Ortalion Entertainment
2008-04-22 22:07 . 2006-11-07 09:42 88,560 -ra------ C:\WINDOWS\system32\drivers\w200mgmt.sys
2008-04-22 22:07 . 2006-11-07 09:42 86,368 -ra------ C:\WINDOWS\system32\drivers\w200obex.sys
2008-04-22 21:36 . 2008-04-22 21:36 <DIR> d-------- C:\Program Files\Sony Ericsson
2008-04-22 21:36 . 2008-04-22 21:36 <DIR> d-------- C:\Program Files\Common Files\Teleca Shared
2008-04-22 21:36 . 2008-04-22 21:36 <DIR> d-------- C:\Documents and Settings\All Users\Documents
2008-04-22 21:36 . 2008-04-22 21:36 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Teleca
2008-04-22 21:36 . 2008-04-22 21:36 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Sony Ericsson
2008-04-22 21:18 . 2008-04-22 21:18 <DIR> d-------- C:\Program Files\Disc2Phone
2008-04-22 21:02 . 2006-11-07 10:42 97,056 -ra------ C:\WINDOWS\system32\drivers\w200mdm.sys
2008-04-22 21:02 . 2006-11-07 10:42 61,504 -ra------ C:\WINDOWS\system32\drivers\w200bus.sys
2008-04-22 21:02 . 2006-11-07 10:42 9,328 -ra------ C:\WINDOWS\system32\drivers\w200mdfl.sys
2008-04-22 21:02 . 2006-11-07 10:42 6,208 -ra------ C:\WINDOWS\system32\drivers\w200cmnt.sys
2008-04-22 21:02 . 2006-11-07 10:42 6,208 -ra------ C:\WINDOWS\system32\drivers\w200cm.sys
2008-04-22 21:02 . 2006-11-07 10:42 5,840 -ra------ C:\WINDOWS\system32\drivers\w200whnt.sys
2008-04-22 21:02 . 2006-11-07 10:42 5,840 -ra------ C:\WINDOWS\system32\drivers\w200wh.sys
2008-04-22 17:07 . 2008-04-22 17:07 74,752 --a------ C:\WINDOWS\temp.003
2008-04-22 17:05 . 2008-04-22 17:05 74,752 --a------ C:\WINDOWS\temp.002
2008-04-22 17:04 . 2008-04-22 17:07 253,952 --------- C:\WINDOWS\Setup1.exe
2008-04-22 17:04 . 2008-04-22 17:04 74,752 --a------ C:\WINDOWS\temp.001
2008-04-22 17:04 . 2008-04-22 17:04 74,752 --a------ C:\WINDOWS\temp.000
2008-04-21 07:44 . 2008-04-21 07:44 <DIR> d-------- C:\Soldat
2008-04-20 21:49 . 2008-04-20 21:51 <DIR> d-------- C:\Program Files\GG Lite
2008-04-20 21:04 . 2008-04-20 21:06 <DIR> d-------- C:\Documents and Settings\Piotrek\fullseggv2255
2008-04-20 20:22 . 2005-10-22 14:27 <DIR> d-------- C:\Documents and Settings\Piotrek\pingwinek7
2008-04-20 20:21 . 2008-04-24 07:29 159,685 --a------ C:\test.htm
2008-04-20 20:18 . 2005-10-05 14:22 <DIR> d-------- C:\Documents and Settings\Piotrek\bugs
2008-04-19 08:02 . 2008-04-20 20:01 <DIR> d-------- C:\Program Files\GG Skin Manager
2008-04-17 18:44 . 2008-04-17 18:44 <DIR> d-------- C:\Program Files\LF2CHARACTER
2008-04-14 19:55 . 2008-04-14 19:55 <DIR> d-------- C:\Program Files\Common Files\EasyInfo
2008-04-14 19:49 . 2005-05-26 16:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2008-04-14 19:47 . 2003-05-30 10:00 1,962,496 --a------ C:\WINDOWS\system32\quartz.dll
2008-04-14 17:24 . 2005-12-16 03:01 1,945,006 --------- C:\WINDOWS\NFSMW-MegaTrainer.CAB
2008-04-14 17:24 . 2008-04-14 17:24 73,216 --------- C:\WINDOWS\ST6UNST.EXE
2008-04-14 17:24 . 2001-04-07 12:43 65,536 --a------ C:\WINDOWS\system32\BitSys.dll
2008-04-14 17:24 . 2008-04-14 17:24 628 --a------ C:\WINDOWS\ST6UNST.000
2008-04-13 09:46 . 2008-04-17 12:51 <DIR> d-------- C:\Documents and Settings\Piotrek\Dane aplikacji\WoDBO
2008-04-13 09:45 . 2008-04-13 09:45 <DIR> d-------- C:\WINDOWS\World of dragon Ball Online
2008-04-13 09:45 . 2008-04-13 13:43 <DIR> d-------- C:\Program Files\World of dragon Ball Online
2008-04-13 09:27 . 2008-04-13 09:27 <DIR> d-------- C:\Automap
2008-04-13 08:07 . 2008-04-13 08:08 <DIR> d-------- C:\Program Files\Dragon Ball v2.5
2008-04-12 20:26 . 2008-04-12 20:26 <DIR> d-------- C:\WINDOWS\new mario62
2008-04-12 13:48 . 2004-08-22 16:31 155,136 --a------ C:\WINDOWS\system32\drivers\d347bus.sys
2008-04-12 13:48 . 2004-08-22 16:31 5,248 --a------ C:\WINDOWS\system32\drivers\d347prt.sys
2008-04-12 13:47 . 2008-04-12 13:48 <DIR> d-------- C:\Program Files\D-Tools
2008-04-08 10:24 . 2002-09-20 18:05 5,657,088 --a--c--- C:\WINDOWS\system32\dllcache\inetcpl.cpl
2008-04-07 21:32 . 2008-04-07 21:32 <DIR> d-------- C:\httpd-users
2008-04-07 21:32 . 2008-04-07 21:37 <DIR> d-------- C:\httpd
2008-04-07 15:45 . 2008-04-07 15:45 <DIR> d-------- C:\Documents and Settings\Piotrek\.mysqlcc
2008-04-05 20:29 . 2008-01-20 18:26 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-04-05 20:11 . 2008-04-05 20:11 451,072 --a------ C:\WINDOWS\WypasRPG Client uninstall.exe
2008-04-05 19:23 . 2008-04-05 19:23 <DIR> d-------- C:\Documents and Settings\Piotrek\Dane aplikacji\teamspeak2
2008-04-05 19:20 . 2008-04-05 19:20 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-04-03 16:11 . 2008-04-03 16:11 57,344 --a------ C:\379a92c.dat
2008-04-03 15:52 . 2008-04-03 15:52 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp
2008-04-03 15:52 . 2008-04-03 15:52 204,288 --a------ C:\WINDOWS\system32\uxtheme.dll
2008-04-03 15:52 . 2008-04-03 15:52 204,288 --a--c--- C:\WINDOWS\system32\dllcache\uxtheme.dll
2008-04-03 15:52 . 2008-04-03 15:52 50,686 --a------ C:\WINDOWS\BricoPackUninst.cmd
2008-04-03 15:48 . 2008-04-03 15:52 4,837 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-04-03 15:47 . 2008-04-03 15:47 <DIR> d-------- C:\WINDOWS\BricoPacks
2008-04-02 17:39 . 2008-04-02 17:39 <DIR> d-------- C:\Program Files\DoubleDesktop
2008-04-02 17:25 . 2008-04-02 17:25 57,344 --a------ C:\3bd785d.dat
2008-04-02 13:25 . 2008-04-02 13:26 98,927 --a------ C:\WINDOWS\hpqins16.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-28 07:10 1,008,640 ----a-w C:\WINDOWS\explorer.exe
2008-04-28 07:01 --------- d-----w C:\Documents and Settings\Piotrek\Dane aplikacji\Lavasoft
2008-04-26 11:16 --------- d-----w C:\Program Files\7-Zip
2008-04-26 09:28 --------- d-----w C:\Program Files\WebServ
2008-04-26 09:28 --------- d-----w C:\Program Files\Asprate
2008-04-26 09:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-26 09:22 --------- d-----w C:\Program Files\Valve
2008-04-26 09:16 --------- d-----w C:\Program Files\BitTorrent
2008-04-24 17:33 22,528 ----a-w C:\WINDOWS\system32\userinit.exe
2008-04-24 17:30 9,728 ----a-w C:\WINDOWS\system32\vkay534.exe
2008-04-24 17:30 65,536 ----a-w C:\lilsesn.exe
2008-04-24 17:29 15,872 ----a-w C:\WINDOWS\system32\svchost.exe
2008-04-24 06:03 --------- d-----w C:\Documents and Settings\Piotrek\Dane aplikacji\Hamachi
2008-04-23 15:16 --------- d-----w C:\Documents and Settings\Piotrek\Dane aplikacji\OpenOffice.ux.pl2
2008-04-20 19:43 --------- d-----w C:\Program Files\Gadu-Gadu
2008-04-20 19:04 --------- d-----w C:\Documents and Settings\Piotrek\Dane aplikacji\foobar2000
2008-04-20 17:38 --------- d-----w C:\Program Files\Shockwave.com
2008-04-20 16:25 --------- d-----w C:\Documents and Settings\Piotrek\Dane aplikacji\Skype
2008-04-20 15:37 --------- d-----w C:\Documents and Settings\Piotrek\Dane aplikacji\BitTorrent
2008-04-20 15:36 --------- d-----w C:\Documents and Settings\Piotrek\Dane aplikacji\skypePM
2008-04-19 05:42 --------- d-----w C:\Program Files\Eurobarre
2008-04-18 13:41 --------- d-----w C:\Program Files\LittleFighter2
2008-04-13 14:49 --------- d-----w C:\Program Files\Google
2008-04-08 08:51 --------- d-----w C:\Program Files\Sjboy Emulator
2008-04-08 08:51 --------- d-----w C:\Program Files\MyPhoneExplorer
2008-04-08 08:26 --------- d-----w C:\Program Files\sXe Injected
2008-04-07 19:21 --------- d-----w C:\Program Files\TC PowerPack
2008-04-05 18:29 --------- d-----w C:\Program Files\Hamachi
2008-04-05 11:55 519,270 --sha-w C:\WINDOWS\inf\firefox.exe
2008-03-26 17:28 --------- d-----w C:\Program Files\VID_0E8F&PID_0003
2008-03-26 17:24 --------- d-----w C:\Documents and Settings\Piotrek\Dane aplikacji\InstallShield
2008-03-10 19:28 --------- d-----w C:\Program Files\Dragon Ball Legend
2008-03-04 18:52 121,856 ----a-w C:\WINDOWS\system32\MadCHook.dll
2008-02-22 15:35 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-21 13:15 2,560 ----a-w C:\WINDOWS\_MSRSTRT.EXE
2008-02-21 06:25 15,872 ------w C:\WINDOWS\system32\winskfr.dll
2008-02-21 06:25 119,568 ------w C:\WINDOWS\system32\vb6fr.dll
2008-02-20 16:10 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
2007-11-20 18:22 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat
2006-12-16 10:57 80 --sh--r C:\WINDOWS\system32\2406B6937A.dll
.

------- Sigcheck -------

2008-04-28 09:10 1008640 4462ec0d18443013deb89ccf13d0daf6 C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{36A361A8-8EA9-4A2C-87DC-17F3176501A8}]
C:\WINDOWS\System32\awtqnkhe.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d3e23b4b-f153-4687-82c2-816319dd3c5a}]
C:\Program Files\free-downloads\tbfre0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D3E23B4B-F153-4687-82C2-816319DD3C5A}"= "C:\Program Files\free-downloads\tbfre0.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{d3e23b4b-f153-4687-82c2-816319dd3c5a}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D3E23B4B-F153-4687-82C2-816319DD3C5A}"= C:\Program Files\free-downloads\tbfre0.dll [ ]

[HKEY_CLASSES_ROOT\clsid\{d3e23b4b-f153-4687-82c2-816319dd3c5a}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"XPRepairPro2007"="C:\Program Files\XP Repair Pro 2007\XPRepairPro.exe" [2007-09-05 03:37 1089160]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-04-20 21:40 1708032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-11-11 15:41 98304]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 03:41 49152]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-02-04 19:30 185896]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-30 21:05 344064]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-31 00:40 57344]
"type32"="C:\Program Files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 10:51 172032]
"ISUSPM Startup"="C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 12:41 196608]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2004-04-13 06:07 69632]
"WinampAgent"="C:\Program Files\Winamp\wianmpa.exe" [ ]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [2004-08-22 17:05 81920]
"SysCtrl"="C:\WINDOWS\System32\sys34.exe" [ ]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"ctfmona"="C:\WINDOWS\System32\ctfmona.exe" [ ]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 18:36 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-20 18:05 13312]

C:\Documents and Settings\Piotrek\Menu Start\Programy\Autostart\
explorer.lnk - C:\WINDOWS\explorer.exe [2008-04-08 10:24:54 1008640]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
ATI CATALYST - pasek zadaä.lnk - C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe [2005-08-31 00:40:36 57344]
DoubleDesktop.lnk - C:\Program Files\DoubleDesktop\dd.exe [2008-04-02 17:39:15 90112]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 05:21:22 288472]
WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2007-04-11 11:10:00 394856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"KOiunYhro"= {F82FDB38-5285-7192-61C8-43F0C5ADF06E} - C:\WINDOWS\System32\yqj.dll [2002-09-20 18:04 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\System32\DRIVERS\klim5.sys [2007-12-13 13:28]
S3 cdrmkaun;cdrmkaun;C:\DOCUME~1\Piotrek\USTAWI~1\Temp\cdrmkaun.sys []
S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;C:\WINDOWS\System32\DRIVERS\WlanUZXP.sys [2005-05-12 17:24]
S3 V0080Dev;Creative Camera VF0080 Driver;C:\WINDOWS\System32\DRIVERS\V0080Dev.sys [2005-05-06 09:11]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\System32\ZDCndis5.SYS []

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-28 15:05:18
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\UAService7.exe
.
**************************************************************************
.
Completion time: 2008-04-28 15:17:30 - machine was rebooted [Piotrek]
ComboFix-quarantined-files.txt 2008-04-28 13:17:14

Pre-Run: 7,662,432,256 bajtów wolnych
Post-Run: 8,409,169,920 bajt˘w wolnych

392

#4 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 28 04 2008 - 15:43

ComboFix skasował masę śmieci i trojana, który wpływał na reset explorer.exe. Jednakże to nie koniec. Dużo innych szkodliwych rzeczy. Niepokoją też świeże modyfikacje plików systemowych (jeśli ręcznie tego nie podmieniałeś = wskazuje to na ich infekcję):

2008-04-28 07:10 1,008,640 ----a-w C:\WINDOWS\explorer.exe
2008-04-24 17:33 22,528 ----a-w C:\WINDOWS\system32\userinit.exe
2008-04-24 17:29 15,872 ----a-w C:\WINDOWS\system32\svchost.exe

Poza tym w Autostarcie jest skrót kierujący do pliku Windows a to nie występuje na niezainfekowanym normalnym systemie:

C:\Documents and Settings\Piotrek\Menu Start\Programy\Autostart\
explorer.lnk - C:\WINDOWS\explorer.exe [2008-04-08 10:24:54 1008640]

Pliki trzeba będzie wymienić..... To zniszczy pliki podstawione przez patchera BricoPack (widzę go w logu). Będziesz musiał reaplikować zmiany przez BricoPacka.


1. Pobierz Gmer. Potrzebna też CD XP - z CD z katalogu i386 skopiuj archiwa: SVCHOST.EX_, USERINIT.EX_, EXPLORER.EX_. Wypakuj z archiwów pliki właściwe. Wypakowane svchost.exe / userinit.exe / explorer.exe umieść bezpośrednio na C:\. Ta ścieżka jest w usuwaniu. Jeśli nie masz CD = mogę dać w wersji XP SP1 PL (taki system widzę w logu) dwa pliki z trzech (nie mogę znaleźć svchost.exe w tej wersji).

2. Otwórz Notatnik i wklej do niego:

DEL C:\WINDOWS\explorer.exe
DEL C:\WINDOWS\system32\userinit.exe
DEL C:\WINDOWS\system32\svchost.exe
DEL C:\WINDOWS\system32\dllcache\explorer.exe
DEL C:\WINDOWS\system32\dllcache\userinit.exe
DEL C:\WINDOWS\system32\dllcache\svchost.exe
COPY C:\explorer.exe C:\WINDOWS\explorer.exe
COPY C:\userinit.exe C:\WINDOWS\system32\userinit.exe
COPY C:\svchost.exe C:\WINDOWS\system32\svchost.exe
ATTRIB -R -S -H C:\WINDOWS\system32\2406B6937A.dll
DEL C:\WINDOWS\system32\2406B6937A.dll
DEL "C:\Documents and Settings\Piotrek\Menu Start\Programy\Autostart\explorer.lnk"
DEL "C:\Documents and Settings\Piotrek\svchosts.exe"
DEL "C:\Documents and Settings\Piotrek\ie_updates3r.exe"
DEL C:\WINDOWS\inf\firefox.exe
DEL C:\WINDOWS\System32\yqj.dll
DEL C:\WINDOWS\System32\sys34.exe
DEL C:\WINDOWS\system32\ctfmonb.bmp
DEL C:\WINDOWS\System32\ctfmona.exe
DEL C:\WINDOWS\system32\vkay*.exe
DEL C:\WINDOWS\system32\blackster.scr
DEL C:\WINDOWS\system32\wqassaqw.tmp
DEL C:\WINDOWS\system32\tsfuic.tmp
DEL C:\WINDOWS\temp.003
DEL C:\WINDOWS\temp.002
DEL C:\WINDOWS\temp.001
DEL C:\WINDOWS\temp.000
DEL C:\*.tmp
DEL C:\*.dat
DEL C:\gseag.exe
DEL C:\lilsesn.exe
DEL C:\-131081417
REG DELETE "HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {D3E23B4B-F153-4687-82C2-816319DD3C5A} /f
REG DELETE "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {D3E23B4B-F153-4687-82C2-816319DD3C5A} /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad /v KOiunYhro /f
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36A361A8-8EA9-4A2C-87DC-17F3176501A8}" /f
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d3e23b4b-f153-4687-82c2-816319dd3c5a}" /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v SysCtrl /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ctfmona /f
REG DELETE HKCR\clsid\{d3e23b4b-f153-4687-82c2-816319dd3c5a} /f
PAUSE

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako DEL.BAT

Plik umieść na C:\

3.Uruchamiasz Gmera i:
  • Przechodzisz do zakładki Procesy i klikasz w Zabij wszystko
  • W zakładce Procesy na dole w Poleceniu przez 3 kropki wskaż plik DEL.BAT i klik w Uruchom. Ma się uruchomić okno dosowe. Sprawdzaj dokładnie ile wykonało się.
  • Zweryfikuj, że po użyciu pliku DEL.BAT w katalogu C:\WINDOWS\system32 masz pliki svchost.exe + userinit.exe a w C:\WINDOWS plik explorer.exe. To b. ważne = bez tych plików nie uruchomisz systemu.
  • Restart komputera.
3. Wchodzisz w Dodaj / Usuń i deinstalujesz free-downloads. Po deinstalacji upewniasz się, że zniknął folder C:\Program Files\free-downloads.

4. Uruchamiasz ComboFix i podajesz z tego nowy log.






.

#5 Ridis

Ridis

    First Rank

  • Użytkownicy
  • 43 postów
  • Płeć:Mężczyzna

Napisano 28 04 2008 - 15:50

nie mam cd :/

"Jeśli nie masz CD = mogę dać w wersji XP SP1 PL (taki system widzę w logu) dwa pliki z trzech (nie mogę znaleźć svchost.exe w tej wersji)."

moge sciagnac z tad ??? http://www.idg.pl/ft...Pack.1.PL..html

#6 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 28 04 2008 - 15:57

1. Daję więc dwa pliki (explorer.exe + userinit.exe) w wersji XP SP1 PL: KLIK. Rozpakuj i pliki, jak mówiłam, umieść na C:\.

2. Natomiast w kwestii svchost.exe = sprawdźmy ile i jakich masz obecnie kopii w systemie. Wklej do Notatnika:

For /F "TOKENS=*" %%g IN ('dir /s/a-d/b %windir%\svchost.exe'
) Do @echo "%%~g" %%~zg %%~tg >>lista.txt 2>nul
start notepad lista.txt & exit

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako LISTA.BAT

Uruchom ten plik. Jak ukończy, uruchomi się w Notatniku plik z listą. Przeklej do posta.

moge sciagnac z tad ??? http://www.idg.pl/ft...Pack.1.PL..html

Nic to ci nie da. SP1 PL nie ma pliku svchost.exe. Przecież ja pliki biorę właśnie z rozpakowanego Service Packa 1 PL (i widzę doskonale które pliki są w środku)! Rozwiązaniem jest montaż Service Packa 2. I tu do wyboru: albo pliki podmieniasz Gmerem albo decydujesz się na montaż SP2 = on te pliki aktualizuje i wymienia, wtedy będę musiała zmienić instrukcję usuwającą.

Nawiasem mówiąc: SP2 obowiązkowy. Już na dniach SP3 a ty nadal ciągniesz na lukach Windows! System nie zabezpieczony dobrze.





.

#7 Ridis

Ridis

    First Rank

  • Użytkownicy
  • 43 postów
  • Płeć:Mężczyzna

Napisano 28 04 2008 - 16:12

"C:\WINDOWS\system32\svchost.exe" 15872 2008-04-24 19:29

wkleilem bezposrednio na C:\

mysle ze SP2 bedzie najlepszym rozwiazaniem...

juz sse dodatek SP2 tylko powiec jak SP1 odinstalowac

#8 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 28 04 2008 - 16:21

Niedobrze. Jest tylko jedna kopia = właśnie ta, która wygląda na zainfekowaną. Nie ma skąd brać tego pliku w wersji oryginalnej polskiej, bo: nie masz CD XP, Service Pack 1 nie ma kopii tego pliku wcale. Przeszukałam mój dom i znalazłam płytę z angielskim XP SP1 i kopię tego pliku. To decyduj co robisz:

- Pobierasz ten plik w wersji XP SP1 EN: KLIK i postępujesz zgodnie z poprzednią instrukcją.
- Czy instalujesz Service Pack 2? Jeśli tak = instrukcja usuwania będzie zupełnie inna. I podam ją, jeśli zainstalujesz SP2.


EDIT:

Dopisałeś, że jednak instalujesz SP2.

juz sse dodatek SP2 tylko powiec jak SP1 odinstalowac


SP1 się nie odinstalowuje! SP2 nakłada się na SP1 i tyle. Jak zainstalujesz SP2 daj znać = podam co masz robić. Bo w tej sytuacji już będzie zbędna podmiana plików = SP2 sam je wymieni. Natomiast zostanie jeszcze sprawa z usuwaniem infekcji.

wkleilem bezposrednio na C:\


Co?! Ten plik svchost.exe znaleziony listą? NIE. To plik zarażony. Nie masz czystej kopii. Plik listujący svchost miał znaleźć alternatywne kopie a ich w ogóle nie masz w systemie.





.

#9 Ridis

Ridis

    First Rank

  • Użytkownicy
  • 43 postów
  • Płeć:Mężczyzna

Napisano 28 04 2008 - 16:33

wkleilem bezposrednio na C:\ ale to co ty mi wstawilaj ten explorer i userinit

#10 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 28 04 2008 - 16:39

wkleilem bezposrednio na C:\ ale to co ty mi wstawilaj ten explorer i userinit


Ale to już cię nie dotyczy, bo instalujesz Service Pack 2. On sam wymieni te pliki. I wykonasz tę instrukcję:

1. Zainstalujesz SP2. Po ukończonej instalacji SP2:

2. Otwierasz Notatnik i wklejasz do niego:

File::
C:\Documents and Settings\Piotrek\Menu Start\Programy\Autostart\explorer.lnk
C:\Documents and Settings\Piotrek\svchosts.exe
C:\Documents and Settings\Piotrek\ie_updates3r.exe
C:\WINDOWS\inf\firefox.exe
C:\WINDOWS\system32\2406B6937A.dll
C:\WINDOWS\System32\yqj.dll
C:\WINDOWS\System32\sys34.exe
C:\WINDOWS\system32\ctfmonb.bmp
C:\WINDOWS\System32\ctfmona.exe
C:\WINDOWS\system32\vkay550.exe
C:\WINDOWS\system32\vkay523.exe
C:\WINDOWS\system32\vkay472.exe
C:\WINDOWS\system32\vkay534.exe
C:\WINDOWS\system32\blackster.scr
C:\WINDOWS\system32\wqassaqw.tmp
C:\WINDOWS\system32\tsfuic.tmp
C:\WINDOWS\temp.003
C:\WINDOWS\temp.002
C:\WINDOWS\temp.001
C:\WINDOWS\temp.000
C:\6BB.tmp
C:\6BA.tmp
C:\6B9.tmp
C:\6B8.tmp
C:\6B3.tmp
C:\gseag.exe
C:\lilsesn.exe
C:\-131081417
C:\379a92c.dat
C:\3bd785d.dat

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{36A361A8-8EA9-4A2C-87DC-17F3176501A8}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d3e23b4b-f153-4687-82c2-816319dd3c5a}]
[-HKEY_CLASSES_ROOT\clsid\{d3e23b4b-f153-4687-82c2-816319dd3c5a}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D3E23B4B-F153-4687-82C2-816319DD3C5A}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D3E23B4B-F153-4687-82C2-816319DD3C5A}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"KOiunYhro"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysCtrl"=-
"ctfmona"=-

Plik zapisujesz pod nazwą CFScript.txt. Przeciągasz go i upuszczasz na ikonę ComboFixa:

Dołączona grafika

3. Wchodzisz w Dodaj / Usuń i deinstalujesz free-downloads (folder C:\Program Files\free-downloads ma też zniknąć)

4. Pokazujesz log z ComboFix wygenerowany w punkcie 2.






.

#11 Ridis

Ridis

    First Rank

  • Użytkownicy
  • 43 postów
  • Płeć:Mężczyzna

Napisano 28 04 2008 - 16:44

ok ale dopiero za godz bede mial sp2

#12 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 28 04 2008 - 16:46

ok ale dopiero za godz bede mial sp2

Masz się tu zgłosić dopiero bpo wykonaniu wszystkich kropoków (montaż SP2 + czyszczenie infekcji przez CFScript).


EDIT do niżej = bez zbędnych postów tego typu. Kasuję to "OK". Czekam na pełnowartościowy post po wykonaniu wszystkiego.

#13 Ridis

Ridis

    First Rank

  • Użytkownicy
  • 43 postów
  • Płeć:Mężczyzna

Napisano 28 04 2008 - 19:26

klikam dwa razy na instalke sp2, wyodrebnia pliki, wlancza sie kreator, instaluje sie i nagle wlancza sie komunikatm ze jest wlaczony services.exe screen:


Dołączona grafika

co mam robic???

#14 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 28 04 2008 - 19:28

Przecież ja kompletnie nie widzę co to za błąd = dałeś za mały obrazek. A próbowałeś instalować SP2 w trybie awaryjnym?

#15 Ridis

Ridis

    First Rank

  • Użytkownicy
  • 43 postów
  • Płeć:Mężczyzna

Napisano 29 04 2008 - 13:58

sprobowalem w trybie awaryjnym ale dalej to samo co poddolem



Dołączona grafika




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych