ďťż
 
 
 
 

Wštki
Prosba o sprawdzenie loga- po odkurzaczu komputerza


wlos1975 - Wto Kwi 15, 2008 11:48 am
Witam.
Prosba jak w tytule.
Poczatkowo wygladało to tak:
Kod: Zaznacz wszystkoLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08:24, on 2008-04-15
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe
C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\KS\APW\Exe\apw_isoz.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\KS\APW\AP62NWIN\ap62nWin.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\KS\KS-ZPL\KSZPLKln.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\ims\manager\imsmanager.exe
C:\KS\APW\KSSyncSpMn\KSSyncSpMn.exe
C:\Program Files\Java\jre1.6.0_05\bin\javaw.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\Nowy folder\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {44A05665-9F13-42BA-85B0-D0FCE15B9C16} - C:\WINDOWS\system32\mllji.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {FFFFFFFF-8F0D-4322-B01F-B42439E0B71C} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ApwIsoz] C:\KS\APW\Exe\apw_isoz.exe /NORMAL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ap62nwin] "C:\KS\APW\AP62NWIN\ap62nWin.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [KSZPLKln] "C:\KS\KS-ZPL\KSZPLKln.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: imsmanager.lnk = C:\ims\manager\imsmanager.exe
O4 - Startup: Skrót do KSSyncSpMn.lnk = C:\KS\APW\KSSyncSpMn\KSSyncSpMn.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Utwórz Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C42F91B9-6604-49B4-A1DA-46F21018C7BE}: NameServer =  (to jest ok, tylko ukryłem, bo nie moj komp;))
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: vtussss - vtussss.dll (file missing)
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe

--
End of file - 6490 bytes

Ale sam troszke ruszylem, wiec wyglada tak:
Kod: Zaznacz wszystkoLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:31:13, on 2008-04-15
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe
C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\KS\APW\Exe\apw_isoz.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\KS\APW\AP62NWIN\ap62nWin.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\KS\KS-ZPL\KSZPLKln.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\ims\manager\imsmanager.exe
C:\KS\APW\KSSyncSpMn\KSSyncSpMn.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Program Files\Java\jre1.6.0_05\bin\javaw.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Nowy folder\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" -run -n Workstation -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ApwIsoz] C:\KS\APW\Exe\apw_isoz.exe /NORMAL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ap62nwin] "C:\KS\APW\AP62NWIN\ap62nWin.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [KSZPLKln] "C:\KS\KS-ZPL\KSZPLKln.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: imsmanager.lnk = C:\ims\manager\imsmanager.exe
O4 - Startup: Skrót do KSSyncSpMn.lnk = C:\KS\APW\KSSyncSpMn\KSSyncSpMn.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Utwórz Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C42F91B9-6604-49B4-A1DA-46F21018C7BE}: NameServer = (to jest ok, tylko ukryłem, bo nie moj komp;))
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kavmm.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\WinVNC.exe

--
End of file - 6336 bytes

Swego czasu pozbylem sie smiecia odkurzacz komputerza, ale zrobilem to combofixem z czyims logiem (tak to jest, jak sie nie czyta info, a szybko stara cos zrobic z dziadostwem). Ale o dziwo poskutkowalo i nawet komp chodzi



huber2t - Wto Kwi 15, 2008 1:40 pm
log czysty
Podaj log z Combofix


wlos1975 - Wto Kwi 15, 2008 5:55 pm
Witam.
Dzięki za sprawdzenie.
Poniżej log Combofix:
Kod: Zaznacz wszystkoRunning from: C:\Nowy folder\ComboFix.exe
* Created a new restore point
* Resident AV is active

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\hi.sfc

.
(((((((((((((((((((((((((   Files Created from 2008-03-15 to 2008-04-15  )))))))))))))))))))))))))))))))
.

2008-04-14 15:20 . 2008-04-14 15:20   <DIR>   d--------   C:\Rozliczenie Roczne 2007
2008-04-10 13:41 . 2008-04-10 13:41   <DIR>   d--------   C:\Program Files\Handmark
2008-04-10 13:41 . 2003-03-16 00:15   90,112   --a------   C:\WINDOWS\unvise32.exe
2008-04-09 09:55 . 2008-04-09 09:55   77,277   --a------   C:\2008-04-09_095523.jpg
2008-04-09 02:00 . 2008-04-09 02:02   1,355   --a------   C:\WINDOWS\imsins.BAK
2008-04-09 00:51 . 2008-04-09 02:02   <DIR>   d--h-----   C:\WINDOWS\$hf_mig$
2008-04-05 19:18 . 2008-04-05 19:18   <DIR>   d--------   C:\Program Files\Jamdat
2008-04-05 09:52 . 2008-04-05 10:26   <DIR>   d--------   C:\Program Files\Softick
2008-04-04 02:00 . 2008-04-04 02:00   <DIR>   d--------   C:\Program Files\MSXML 4.0
2008-04-02 20:30 . 2008-04-02 20:31   <DIR>   d--------   C:\hp_LJ3050-3052-3055-3390-3392_Full_Solutiona
2008-04-02 14:44 . 2008-04-02 14:44   98,927   --a------   C:\WINDOWS\hpqins16.dat
2008-04-02 14:16 . 2007-03-16 16:17   724   --a------   C:\WINDOWS\hpbvspst.hi2
2008-04-02 14:16 . 2007-03-16 16:17   344   --a------   C:\WINDOWS\hpbvspst.bu2
2008-04-02 14:15 . 2007-03-16 16:16   3,822   --a------   C:\WINDOWS\hpbvnstp.hi2
2008-04-02 14:15 . 2007-03-16 16:16   1,232   --a------   C:\WINDOWS\hpbvnstp.bu2
2008-04-02 14:08 . 2008-04-02 14:16   112,724   ---------   C:\WINDOWS\hppins02.dat.temp
2008-04-02 14:08 . 2008-04-02 14:08   3,661   --a------   C:\WINDOWS\hpbvnstp.hi1
2008-04-02 14:08 . 2007-06-20 01:44   1,883   ---------   C:\WINDOWS\hppmdl02.dat.temp
2008-04-02 14:08 . 2008-04-02 14:08   1,203   --a------   C:\WINDOWS\hpbvnstp.bu1
2008-04-02 14:08 . 2008-04-02 14:08   741   --a------   C:\WINDOWS\hpbvspst.hi1
2008-04-02 14:08 . 2008-04-02 14:08   400   --a------   C:\WINDOWS\hpbvspst.bu1
2008-04-02 14:07 . 2007-03-29 01:36   327,680   --a------   C:\WINDOWS\system32\HPPEPR01.DLL
2008-04-02 14:07 . 2007-03-22 02:54   229,376   --a------   C:\WINDOWS\system32\HPPCPR01.DLL
2008-04-02 14:07 . 2007-03-15 21:45   630   --a------   C:\WINDOWS\system32\HPPCPR01.DAT
2008-04-02 13:54 . 2008-04-02 14:07   <DIR>   d----c---   C:\WINDOWS\system32\DRVSTORE
2008-04-02 13:54 . 2007-03-22 19:45   573,440   --a------   C:\WINDOWS\system32\hpxp3390.dll
2008-04-02 13:54 . 2007-02-28 21:39   458,752   --a------   C:\WINDOWS\system32\SET4D8.tmp
2008-04-02 13:54 . 2007-03-29 23:01   372,736   --a------   C:\WINDOWS\system32\hppldcoi.dll
2008-04-02 13:54 . 2006-05-19 00:58   309,760   --a------   C:\WINDOWS\system32\difxapi.dll
2008-04-02 13:54 . 2007-02-06 01:49   188,416   --a------   C:\WINDOWS\system32\hppcew01.dll
2008-04-02 13:54 . 2006-11-09 00:35   53,248   --a------   C:\WINDOWS\system32\hpzipm12.dll
2008-04-02 13:47 . 2008-04-02 13:47   <DIR>   d--------   C:\HPFixScan
2008-04-01 18:58 . 2008-04-01 18:58   250   --a------   C:\WINDOWS\gmer.ini
2008-03-29 15:39 .    <DIR>      C:\Documents and Settings\W-aĹĄciciel
2008-03-29 15:18 . 2008-03-29 15:18   <DIR>   d--------   C:\Documents and Settings\Właściciel\DoctorWeb
2008-03-29 15:18 . 2008-03-29 15:18   <DIR>   d--------   C:\Documents and Settings\Właściciel\DoctorWeb
2008-03-29 15:09 . 2008-03-29 15:10   <DIR>   d--------   C:\Program Files\VS Revo Group
2008-03-29 14:54 . 2008-04-02 20:34   206   --a------   C:\WINDOWS\wininit.ini
2008-03-29 14:06 . 2008-03-29 14:06   <DIR>   d--------   C:\Program Files\Spybot - Search & Destroy
2008-03-29 14:06 . 2008-03-29 14:55   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-03-29 11:13 . 2008-03-29 14:55   1,583,997   ---hs----   C:\WINDOWS\system32\kosjbutl.ini
2008-03-29 10:25 . 2008-03-29 10:25   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\Grisoft
2008-03-29 09:08 . 2008-04-15 19:35   <DIR>   d--------   C:\Nowy folder
2008-03-28 14:32 . 2008-04-09 09:39   <DIR>   d--------   C:\Program Files\FastStone Screen Capture

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-15 17:39   ---------   d-----w   C:\Program Files\UltraVNC
2008-04-15 17:39   ---------   d-----w   C:\Documents and Settings\Właściciel\Dane aplikacji\Skype
2008-04-15 09:45   ---------   d-----w   C:\Documents and Settings\Właściciel\Dane aplikacji\OpenOffice.ux.pl2
2008-04-05 15:46   ---------   d-----w   C:\Program Files\Microsoft ActiveSync
2008-03-29 10:53   ---------   d-----w   C:\Program Files\PrzelewCOM
2008-03-29 00:09   ---------   d-----w   C:\Program Files\Google
2008-03-29 00:06   ---------   d-----w   C:\Program Files\Java
2008-03-20 08:09   1,845,504   ----a-w   C:\WINDOWS\system32\win32k.sys
2008-02-25 17:48   ---------   d-----w   C:\Program Files\PITy
2008-02-22 12:26   ---------   d-----w   C:\Program Files\IrfanView
2008-02-20 06:51   282,624   ----a-w   C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:38   45,568   ----a-w   C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 13:24   ---------   d-----w   C:\Program Files\MediaCoder
2008-02-16 09:05   662,016   ----a-w   C:\WINDOWS\system32\wininet.dll
2008-02-08 08:31   560   ---ha-w   C:\WINDOWS\Fonts\SWFont9.fnt
2008-02-08 08:31   560   ----a-w   C:\Program Files\Global.sw
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ap62nwin"="C:\KS\APW\AP62NWIN\ap62nWin.exe" [2008-02-13 13:47 6014464]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-02-23 00:31 25388584]
"KSZPLKln"="C:\KS\KS-ZPL\KSZPLKln.exe" [2007-08-16 12:08 3018240]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 15:57 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-07 21:33 53248 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-10-31 22:15 163840 C:\WINDOWS\system32\VTTrayp.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 18:42 90112 C:\WINDOWS\soundman.exe]
"KAV50"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" [2005-09-14 14:27 659594]
"LVCOMSX"="C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe" [2006-11-15 23:01 244512]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 16:49 49152]
"ToolBoxFX"="C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2006-02-02 09:12 45056]
"WinVNC"="C:\Program Files\UltraVNC\WinVNC.exe" [2005-08-06 20:45 974848]
"ApwIsoz"="C:\KS\APW\Exe\apw_isoz.exe" [2008-02-15 13:52 2124288]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

C:\Documents and Settings\Wˆa˜ciciel\Menu Start\Programy\Autostart\
imsmanager.lnk - C:\ims\manager\imsmanager.exe [2006-03-20 23:38:40 403456]
Skr˘t do KSSyncSpMn.lnk - C:\KS\APW\KSSyncSpMn\KSSyncSpMn.exe [2007-03-20 21:58:31 6639616]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KLBLMain]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\KS\\KS-EWD\\pilot.exe"=
"C:\\KS\\APW\\AP62NWIN\\ap62nWin.exe"=
"C:\\Program Files\\UltraVNC\\winvnc.exe"=
"C:\\Program Files\\UltraVNC\\vncviewer.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 Klmc;Klmc;C:\WINDOWS\system32\Drivers\klmc.sys [2005-09-14 14:26]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe [2006-01-17 02:05]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe [2006-01-17 02:05]
R3 HPFXBULK;HPFXBULK;C:\WINDOWS\system32\drivers\hpfxbulk.sys [2006-04-04 23:20]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12   REG_MULTI_SZ      Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt   REG_MULTI_SZ      hpqcxs08

*Newly Created Service* - CATCHME
.
Contents of the 'Scheduled Tasks' folder
"2008-04-01 19:00:54 C:\WINDOWS\Tasks\APW44.job"
- C:\KS\APW\EXE\APW44.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-15 19:39:00
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 677

**************************************************************************
.
Completion time: 2008-04-15 19:40:37
ComboFix-quarantined-files.txt  2008-04-15 17:40:25

Pre-Run: 26,907,308,032 bajtów wolnych
Post-Run: 26,740,723,712 bajtów wolnych
.
2008-04-09 00:02:04   --- E O F --- 

I jeszcze raz dzięki. Pozdrawiam.


huber2t - Śro Kwi 16, 2008 1:20 am
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Kod: Zaznacz wszystkoFile::
C:\WINDOWS\system32\kosjbutl.ini

Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox



wlos1975 - Śro Kwi 16, 2008 9:17 am
Witam.
A jednak jakis smiec...
Oto log:
Kod: Zaznacz wszystkoComboFix 08-04-14.2 - Właściciel 2008-04-16 10:54:26.3 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2701.2.1255.1.1045.18.342 [GMT 2:00]
Running from: C:\Nowy folder\ComboFix.exe
Command switches used :: C:\Nowy folder\CFScript.txt
* Created a new restore point
* Resident AV is active

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]

FILE ::
C:\WINDOWS\system32\kosjbutl.ini
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\kosjbutl.ini

.
(((((((((((((((((((((((((   Files Created from 2008-03-16 to 2008-04-16  )))))))))))))))))))))))))))))))
.

2008-04-14 15:20 . 2008-04-14 15:20   <DIR>   d--------   C:\Rozliczenie Roczne 2007
2008-04-10 13:41 . 2008-04-10 13:41   <DIR>   d--------   C:\Program Files\Handmark
2008-04-10 13:41 . 2003-03-16 00:15   90,112   --a------   C:\WINDOWS\unvise32.exe
2008-04-09 09:55 . 2008-04-09 09:55   77,277   --a------   C:\2008-04-09_095523.jpg
2008-04-09 02:00 . 2008-04-09 02:02   1,355   --a------   C:\WINDOWS\imsins.BAK
2008-04-09 00:51 . 2008-04-09 02:02   <DIR>   d--h-----   C:\WINDOWS\$hf_mig$
2008-04-05 19:18 . 2008-04-05 19:18   <DIR>   d--------   C:\Program Files\Jamdat
2008-04-05 09:52 . 2008-04-05 10:26   <DIR>   d--------   C:\Program Files\Softick
2008-04-04 02:00 . 2008-04-04 02:00   <DIR>   d--------   C:\Program Files\MSXML 4.0
2008-04-02 20:30 . 2008-04-02 20:31   <DIR>   d--------   C:\hp_LJ3050-3052-3055-3390-3392_Full_Solutiona
2008-04-02 14:44 . 2008-04-02 14:44   98,927   --a------   C:\WINDOWS\hpqins16.dat
2008-04-02 14:16 . 2007-03-16 16:17   724   --a------   C:\WINDOWS\hpbvspst.hi2
2008-04-02 14:16 . 2007-03-16 16:17   344   --a------   C:\WINDOWS\hpbvspst.bu2
2008-04-02 14:15 . 2007-03-16 16:16   3,822   --a------   C:\WINDOWS\hpbvnstp.hi2
2008-04-02 14:15 . 2007-03-16 16:16   1,232   --a------   C:\WINDOWS\hpbvnstp.bu2
2008-04-02 14:08 . 2008-04-02 14:16   112,724   ---------   C:\WINDOWS\hppins02.dat.temp
2008-04-02 14:08 . 2008-04-02 14:08   3,661   --a------   C:\WINDOWS\hpbvnstp.hi1
2008-04-02 14:08 . 2007-06-20 01:44   1,883   ---------   C:\WINDOWS\hppmdl02.dat.temp
2008-04-02 14:08 . 2008-04-02 14:08   1,203   --a------   C:\WINDOWS\hpbvnstp.bu1
2008-04-02 14:08 . 2008-04-02 14:08   741   --a------   C:\WINDOWS\hpbvspst.hi1
2008-04-02 14:08 . 2008-04-02 14:08   400   --a------   C:\WINDOWS\hpbvspst.bu1
2008-04-02 14:07 . 2007-03-29 01:36   327,680   --a------   C:\WINDOWS\system32\HPPEPR01.DLL
2008-04-02 14:07 . 2007-03-22 02:54   229,376   --a------   C:\WINDOWS\system32\HPPCPR01.DLL
2008-04-02 14:07 . 2007-03-15 21:45   630   --a------   C:\WINDOWS\system32\HPPCPR01.DAT
2008-04-02 13:54 . 2008-04-02 14:07   <DIR>   d----c---   C:\WINDOWS\system32\DRVSTORE
2008-04-02 13:54 . 2007-03-22 19:45   573,440   --a------   C:\WINDOWS\system32\hpxp3390.dll
2008-04-02 13:54 . 2007-02-28 21:39   458,752   --a------   C:\WINDOWS\system32\SET4D8.tmp
2008-04-02 13:54 . 2007-03-29 23:01   372,736   --a------   C:\WINDOWS\system32\hppldcoi.dll
2008-04-02 13:54 . 2006-05-19 00:58   309,760   --a------   C:\WINDOWS\system32\difxapi.dll
2008-04-02 13:54 . 2007-02-06 01:49   188,416   --a------   C:\WINDOWS\system32\hppcew01.dll
2008-04-02 13:54 . 2006-11-09 00:35   53,248   --a------   C:\WINDOWS\system32\hpzipm12.dll
2008-04-02 13:47 . 2008-04-02 13:47   <DIR>   d--------   C:\HPFixScan
2008-04-01 18:58 . 2008-04-01 18:58   250   --a------   C:\WINDOWS\gmer.ini
2008-03-29 15:39 .    <DIR>      C:\Documents and Settings\W-aĹĄciciel
2008-03-29 15:18 . 2008-03-29 15:18   <DIR>   d--------   C:\Documents and Settings\Właściciel\DoctorWeb
2008-03-29 15:18 . 2008-03-29 15:18   <DIR>   d--------   C:\Documents and Settings\Właściciel\DoctorWeb
2008-03-29 15:09 . 2008-03-29 15:10   <DIR>   d--------   C:\Program Files\VS Revo Group
2008-03-29 14:54 . 2008-04-02 20:34   206   --a------   C:\WINDOWS\wininit.ini
2008-03-29 14:06 . 2008-03-29 14:06   <DIR>   d--------   C:\Program Files\Spybot - Search & Destroy
2008-03-29 14:06 . 2008-03-29 14:55   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-03-29 10:25 . 2008-03-29 10:25   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\Grisoft
2008-03-29 09:08 . 2008-04-16 10:54   <DIR>   d--------   C:\Nowy folder
2008-03-28 14:32 . 2008-04-09 09:39   <DIR>   d--------   C:\Program Files\FastStone Screen Capture

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-16 08:56   ---------   d-----w   C:\Program Files\UltraVNC
2008-04-16 08:48   ---------   d-----w   C:\Documents and Settings\Właściciel\Dane aplikacji\Skype
2008-04-16 08:13   ---------   d-----w   C:\Documents and Settings\Właściciel\Dane aplikacji\OpenOffice.ux.pl2
2008-04-05 15:46   ---------   d-----w   C:\Program Files\Microsoft ActiveSync
2008-03-29 10:53   ---------   d-----w   C:\Program Files\PrzelewCOM
2008-03-29 00:09   ---------   d-----w   C:\Program Files\Google
2008-03-29 00:06   ---------   d-----w   C:\Program Files\Java
2008-03-20 08:09   1,845,504   ----a-w   C:\WINDOWS\system32\win32k.sys
2008-02-25 17:48   ---------   d-----w   C:\Program Files\PITy
2008-02-22 12:26   ---------   d-----w   C:\Program Files\IrfanView
2008-02-20 06:51   282,624   ----a-w   C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:38   45,568   ----a-w   C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 13:24   ---------   d-----w   C:\Program Files\MediaCoder
2008-02-16 09:05   662,016   ----a-w   C:\WINDOWS\system32\wininet.dll
2008-02-08 08:31   560   ---ha-w   C:\WINDOWS\Fonts\SWFont9.fnt
2008-02-08 08:31   560   ----a-w   C:\Program Files\Global.sw
.

(((((((((((((((((((((((((((((   snapshot@2008-04-15_19.40.00,15   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-15 11:29:32   2,048   --s-a-w   C:\WINDOWS\bootstat.dat
+ 2008-04-15 17:47:59   2,048   --s-a-w   C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ap62nwin"="C:\KS\APW\AP62NWIN\ap62nWin.exe" [2008-02-13 13:47 6014464]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-02-23 00:31 25388584]
"KSZPLKln"="C:\KS\KS-ZPL\KSZPLKln.exe" [2007-08-16 12:08 3018240]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 15:57 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-07 21:33 53248 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-10-31 22:15 163840 C:\WINDOWS\system32\VTTrayp.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 18:42 90112 C:\WINDOWS\soundman.exe]
"KAV50"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe" [2005-09-14 14:27 659594]
"LVCOMSX"="C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe" [2006-11-15 23:01 244512]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 16:49 49152]
"ToolBoxFX"="C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2006-02-02 09:12 45056]
"WinVNC"="C:\Program Files\UltraVNC\WinVNC.exe" [2005-08-06 20:45 974848]
"ApwIsoz"="C:\KS\APW\Exe\apw_isoz.exe" [2008-02-15 13:52 2124288]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

C:\Documents and Settings\Wˆa˜ciciel\Menu Start\Programy\Autostart\
imsmanager.lnk - C:\ims\manager\imsmanager.exe [2006-03-20 23:38:40 403456]
Skr˘t do KSSyncSpMn.lnk - C:\KS\APW\KSSyncSpMn\KSSyncSpMn.exe [2007-03-20 21:58:31 6639616]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KLBLMain]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\KS\\KS-EWD\\pilot.exe"=
"C:\\KS\\APW\\AP62NWIN\\ap62nWin.exe"=
"C:\\Program Files\\UltraVNC\\winvnc.exe"=
"C:\\Program Files\\UltraVNC\\vncviewer.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 Klmc;Klmc;C:\WINDOWS\system32\Drivers\klmc.sys [2005-09-14 14:26]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe [2006-01-17 02:05]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe [2006-01-17 02:05]
R3 HPFXBULK;HPFXBULK;C:\WINDOWS\system32\drivers\hpfxbulk.sys [2006-04-04 23:20]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12   REG_MULTI_SZ      Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt   REG_MULTI_SZ      hpqcxs08

.
Contents of the 'Scheduled Tasks' folder
"2008-04-01 19:00:54 C:\WINDOWS\Tasks\APW44.job"
- C:\KS\APW\EXE\APW44.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-16 10:56:35
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 1479

**************************************************************************
.
Completion time: 2008-04-16 10:57:49
ComboFix-quarantined-files.txt  2008-04-16 08:57:29
ComboFix2.txt  2008-04-15 17:40:38

Pre-Run: 26,340,679,680 bajtów wolnych
Post-Run: 26,231,029,760 bajtów wolnych
.
2008-04-09 00:02:04   --- E O F --- 

I jeszcze raz dziękuję za pomoc.
Pozdrawiam. Łukasz P.


huber2t - Śro Kwi 16, 2008 12:46 pm
Log jest czysty

Przeskanuj komputer tym http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

Usuń ręcznie folder C: \Qoobox
usuń instalkę Combofix z dysku.


wlos1975 - Śro Kwi 16, 2008 4:58 pm
Witam.
Ok. Jeszcze raz dziekuję.
Raport ze skanu Kaspersky`im:
Kod: Zaznacz wszystkoZadanie:   Skanuj Mój komputer   
      
Statystyki:      
Czas uruchomienia zadania:   2008-04-16 16:31:15   
Czas zakończenia zadania:   2008-04-16 18:47:27   
Skanowanych obiektów:   506492   
Wykrytych wirusów:   10   
Wyleczonych:   0   
Poddanych kwarantannie:   0   
      
Ustawienia:      
Obszar skanowania:   Mój komputer   
Poziom ochrony:   Maksymalna ochrona   
Skanuj:   wszystkie obiekty   
Obiekty zainfekowane:   pytaj użytkownika o podjęcie działania po zakończeniu skanowania   
Obiekty podejrzane:   pytaj użytkownika o podjęcie działania po zakończeniu skanowania   
Wykluczenia:   brak   
Zaufane oprogramowanie riskware:   not-a-virus:RemoteAdmin.Win32.WinVNC.e   [winvnc.exe\WinVNC.exe]   
   not-a-virus:RemoteAdmin.Win32.WinVNC.e   [D:\install\UltraVNC-101-Setup.exe]   
Sektory startowe dysków:   skanuj   
Osadzone obiekty OLE:   skanuj   
Strumienia NTFS:   skanuj   
Pocztowe bazy danych:   skanuj   
Pocztowe formaty plików:   skanuj   
Obiekty spakowane:   skanuj   
Archiwa samorozpakowujące:   skanuj   
Archiwa:   skanuj   
Maksymalny rozmiar skanowanych archiwów:   brak ograniczeń   
iChecker(tm):   włączony   
iStreams(tm):   włączony   
Maksymalny czas przetwarzania obiektu:   brak ograniczeń   
      
Raport:      
Obiekt   Zdarzenie   Czas trwania
C:\Program Files\UltraVNC\WinVNC.exe   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 16:31:47
Obiekt pamięci winvnc.exe\WinVNC.exe   Nie może zostać wyleczony. Powód: leczenie odroczone do czasu zakończenia skanowania.   2008-04-16 16:31:47
C:\Program Files\UltraVNC\WinVNC.exe   Nie może zostać wyleczony. Powód: leczenie odroczone do czasu zakończenia skanowania.   2008-04-16 16:31:53
C:\PROGRAM FILES\ULTRAVNC\WINVNC.EXE   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 16:32:13
Obiekt startowy HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run [WinVNC="C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper]   Zainfekowany Registry: startUp link to C:\PROGRAM FILES\ULTRAVNC\WINVNC.EXE object with "Infected" verdict.   2008-04-16 16:32:13
C:\PROGRAM FILES\ULTRAVNC\WINVNC.EXE   Nie może zostać wyleczony. Powód: leczenie odroczone do czasu zakończenia skanowania.   2008-04-16 16:32:13
Obiekt startowy HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run [WinVNC="C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper]   Nie może zostać wyleczony. Powód: leczenie odroczone do czasu zakończenia skanowania.   2008-04-16 16:32:13
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\GrokLoader.zip\sbRecovery.reg   Zabezpieczony hasłem .   2008-04-16 16:45:18
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\GrokLoader.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:45:50
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts.zip\sbRecovery.reg   Zabezpieczony hasłem .   2008-04-16 16:46:21
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:46:52
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts1.zip\sbRecovery.reg   Zabezpieczony hasłem .   2008-04-16 16:47:23
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts1.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:47:54
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts2.zip\sbRecovery.reg   Zabezpieczony hasłem .   2008-04-16 16:48:26
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityFirewallOpenPorts2.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:48:57
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumonde.zip\sbRecovery.reg   Zabezpieczony hasłem .   2008-04-16 16:49:28
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumonde.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:49:59
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumonde1.zip\sbRecovery.reg   Zabezpieczony hasłem .   2008-04-16 16:50:30
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumonde1.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:51:01
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumonde2.zip\sbRecovery.reg   Zabezpieczony hasłem .   2008-04-16 16:51:33
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumonde2.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:52:04
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll.zip\mllji.dll   Zabezpieczony hasłem .   2008-04-16 16:52:35
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:53:06
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll1.zip\gjxwulak.dll   Zabezpieczony hasłem .   2008-04-16 16:53:37
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll1.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:53:52
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll2.zip\ltubjsok.dll   Zabezpieczony hasłem .   2008-04-16 16:53:53
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll2.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:53:53
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll3.zip\mllji.dll_old   Zabezpieczony hasłem .   2008-04-16 16:53:53
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll3.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:53:53
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll4.zip\rfyqliek.dll   Zabezpieczony hasłem .   2008-04-16 16:53:53
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll4.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:53:53
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll5.zip\sbRecovery.reg   Zabezpieczony hasłem .   2008-04-16 16:53:53
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll5.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:53:53
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll6.zip\sbRecovery.reg   Zabezpieczony hasłem .   2008-04-16 16:53:53
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Virtumondedll6.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:53:53
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\WinSmallazl.zip\sbRecovery.reg   Zabezpieczony hasłem .   2008-04-16 16:53:53
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\WinSmallazl.zip\sbRecovery.ini   Zabezpieczony hasłem .   2008-04-16 16:53:53
C:\Program Files\UltraVNC\vnchooks.dll   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:04:15
C:\Program Files\UltraVNC\vnchooks.dll   Nie może zostać wyleczony. Powód: leczenie odroczone do czasu zakończenia skanowania.   2008-04-16 18:04:15
C:\Program Files\UltraVNC\winvnc.exe   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:04:15
C:\Program Files\UltraVNC\winvnc.exe   Nie może zostać wyleczony. Powód: leczenie odroczone do czasu zakończenia skanowania.   2008-04-16 18:04:15
C:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP199\A0516632.exe   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:06:42
C:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP199\A0516632.exe   Nie może zostać wyleczony. Powód: leczenie odroczone do czasu zakończenia skanowania.   2008-04-16 18:06:42
C:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0522842.exe   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:18:15
C:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0522842.exe   Nie może zostać wyleczony. Powód: leczenie odroczone do czasu zakończenia skanowania.   2008-04-16 18:18:15
D:\install\UltraVNC-101-Setup.exe/file130   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:41:01
D:\install\UltraVNC-101-Setup.exe/file131   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:41:01
D:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0531193.exe/file130   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:47:00
D:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0531193.exe/file131   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:47:00
D:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0531193.exe   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:47:00
D:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0531193.exe   Nie może zostać wyleczony. Powód: leczenie odroczone do czasu zakończenia skanowania.   2008-04-16 18:47:00
C:\Program Files\UltraVNC\WinVNC.exe   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:52:34
Obiekt pamięci winvnc.exe\WinVNC.exe   Nie może zostać wyleczony. Powód: działanie anulowane.   2008-04-16 18:52:34
C:\Program Files\UltraVNC\WinVNC.exe   Nie może zostać wyleczony. Powód: działanie anulowane.   2008-04-16 18:52:34
C:\Program Files\UltraVNC\WinVNC.exe   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:52:34
C:\Program Files\UltraVNC\WinVNC.exe   Nie może zostać wyleczony. Powód: działanie anulowane.   2008-04-16 18:52:34
C:\Program Files\UltraVNC\winvnc.exe   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:52:34
C:\Program Files\UltraVNC\winvnc.exe   Nie może zostać wyleczony. Powód: działanie anulowane.   2008-04-16 18:52:34
C:\PROGRAM FILES\ULTRAVNC\WINVNC.EXE   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:52:35
Obiekt startowy HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run [WinVNC="C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper]   Zainfekowany Registry: startUp link to C:\PROGRAM FILES\ULTRAVNC\WINVNC.EXE object with "Infected" verdict.   2008-04-16 18:52:35
C:\PROGRAM FILES\ULTRAVNC\WINVNC.EXE   Nie może zostać wyleczony. Powód: działanie anulowane.   2008-04-16 18:52:35
Obiekt startowy HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run [WinVNC="C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper]   Nie może zostać wyleczony. Powód: działanie anulowane.   2008-04-16 18:52:35
C:\Program Files\UltraVNC\vnchooks.dll   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:52:35
C:\Program Files\UltraVNC\vnchooks.dll   Nie może zostać wyleczony. Powód: działanie anulowane.   2008-04-16 18:52:35
C:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP199\A0516632.exe   Błąd podczas przetwarzania.   2008-04-16 18:52:35
C:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0522842.exe   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:52:35
C:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0522842.exe   Nie może zostać wyleczony. Powód: działanie anulowane.   2008-04-16 18:52:35
D:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0531193.exe/file130   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:52:36
D:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0531193.exe/file130   Nie może zostać wyleczony. Powód: działanie anulowane.   2008-04-16 18:52:36
D:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0531193.exe/file131   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:52:36
D:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0531193.exe/file131   Nie może zostać wyleczony. Powód: działanie anulowane.   2008-04-16 18:52:36
D:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0531193.exe   Jest oprogramowaniem riskware not-a-virus:RemoteAdmin.Win32.WinVNC.e.   2008-04-16 18:52:36
D:\System Volume Information\_restore{C2EAAFD3-1498-4A1F-A488-48023FAC91F9}\RP201\A0531193.exe   Nie może zostać wyleczony. Powód: działanie anulowane.   2008-04-16 18:52:36

z tym, że UltraVNC- to nie jest wirus
Pozdrawiam. Łukasz P.


huber2t - Śro Kwi 16, 2008 5:09 pm
Wiem jest oprogramowaniem riskware, ogolnie to czysto
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • szpetal.keep.pl
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • funlifepok.htw.pl
    		•
    Sitedesign by AltusUmbrae.