Wróć   polish:Elite:board > komunikacja > bezpieczeństwo i anonimowość > Logi do sprawdzenia
Odpowiedz
 
LinkBack Narzędzia wątku Przeszukaj ten temat Wygląd

  #1 (permalink)  
Stare 15.09.2008, 17:56
Junior Member
 
Zarejestrowany: Jan 2008
Postów: 22
Postów w giełdzie: 0
Domyślnie Wystąpił problem z aplikacją explorer.exe + drwtsn.exe

Mam problem z laptopem, po uruchomieniu pojawia się komunikat "wystąpił problem z aplikacją explorer.exe" po kliknięciu standardowo Ok i Nie wysyłaj pojawia się komunikat ten sam tylko tym razem jest problem z drwtsn.exe. I tak w kółko. Czasami po ubiciu procesu drwtsn.exe. Okienka już nie wyskakują do czasu ponownego uruchomienia. Na pewno są jakieś robaki bo dodatkowo (laptop nie ma skonfigurowanego połączenia z netem) co jakiś czas otwiera się wizzard, że skonfigurować połączenie z internetem. Próbowałem zainstalować SDFixa (po uprzednim wyłączeniu wszystkich zabezpieczeń firewall itp) i wyskakuje błąd, że nie może się dostać do plików i instalacja zostanie zakończona. Poniżej logi Hijacka i ComboFix

Kod:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:38:00, on 2008-09-14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
c:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\HPQ\IAM\bin\asghost.exe
c:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
c:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
c:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\WINDOWS\AdobeR.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Documents and Settings\Krzysztof\Menu Start\Programy\Autostart\ctfmon.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\AdobeR.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Wyślij do interfejsu &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O20 - Winlogon Notify: OneCard - C:\Program Files\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Norton Internet Security\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Usługa Auto-Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Usługa Norton Protection Center (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 11007 bytes
Kod:
ComboFix 08-09-14.06 - Krzysztof 2008-09-15 17:35:40.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.606 [GMT 2:00]
Uruchomiony z: D:\ComboFix.exe
* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\Documents and Settings\Krzysztof\Menu Start\Programy\Autostart\ctfmon.exe
C:\Documents and Settings\Krzysztof\ravmonlog
C:\Recycled\Recycled
C:\Recycled\Recycled\ctfmon.exe
C:\WINDOWS\adober.exe
C:\WINDOWS\system32\_000005_.tmp.dll
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
E:\Autorun.inf

.
((((((((((((((((((((((((( Pliki utworzone od 2008-08-15 do 2008-09-15 )))))))))))))))))))))))))))))))
.

2008-09-14 23:39 . 2008-05-08 14:28 202,752 --------- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-09-14 23:35 . 2008-04-11 20:51 683,520 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-09-14 23:35 . 2008-05-01 16:33 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-09-14 23:28 . 2007-10-25 18:57 8,483,328 --------- C:\WINDOWS\system32\dllcache\shell32.dll
2008-09-14 23:27 . 2007-07-09 15:11 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-09-14 23:27 . 2006-08-21 11:14 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-09-14 23:27 . 2006-08-21 11:14 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-09-14 23:27 . 2006-08-21 14:28 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-09-14 21:37 . 2008-09-14 21:37 <DIR> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2008-09-15 15:41 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-08-26 20:52 --------- d-----w C:\Documents and Settings\Krzysztof\Dane aplikacji\ZoomBrowser EX
2008-08-26 20:52 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\ZoomBrowser
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe" [2005-09-08 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"PTHOSTTR"="C:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2006-02-14 122880]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-31 122940]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-11-10 761945]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 118784]
"hpWirelessAssistant"="C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 454656]
"ccApp"="c:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2005-09-17 52848]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dl l" [2003-12-22 17920]
"QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-02 131072]
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2006-02-22 40960]
"Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 1187840]
"Reminder"="C:\WINDOWS\Creator\Remind_XP.exe" [2006-01-23 802816]
"Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-02-15 892928]
"WatchDog"="C:\Program Files\InterVideo\DVD Check\DVDCheck.exe" [2005-11-08 184320]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 155648]
"Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 517768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\Documents and Settings\Krzysztof\Menu Start\Programy\Autostart\
Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-02-15 581693]
DVD Check.lnk - C:\Program Files\InterVideo\DVD Check\DVDCheck.exe [2007-01-13 184320]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2005-07-25 20:41 40960 C:\Program Files\HPQ\IAM\Bin\AsWlnPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\SMINST\\Scheduler.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"12425:TCP"= 12425:TCP:NortonAV
"18801:TCP"= 18801:TCP:NortonAV
"14953:TCP"= 14953:TCP:NortonAV
"12660:TCP"= 12660:TCP:NortonAV

R2 ASChannel;Local Communication Channel;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASChannel

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{72c0f93a-566d-11dd-b209-0018deb8761d}]
\shell\AutoRun\command - F:\fppg1.exe
\shell\explore\Command - F:\fppg1.exe
\shell\open\Command - F:\fppg1.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{eb50df05-0ad4-11dc-b166-0018deb8761d}]
\Shell\AutoRun\command - H:\USBNB.exe

*Newly Created Service* - COMHOST
.
Zawartość folderu 'Zaplanowane zadania'
.
- - - - USUNIĘTO PUSTE WPISY - - - -

HKLM-Run-NWEReboot - (no file)


.
------- Skan uzupełniający -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.hp.com
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.hp.com/
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: E&ksport do programu Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 -: Wyślij do interfejsu &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-15 17:43:50
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ???x^??????(?@???????@

skanowanie ukrytych plików ...


C:\Program Files\Common Files\Symantec Shared\SPBBC\2008-09-15-79dc.kc 205256 bytes

skanowanie pomyślnie ukończone
ukryte pliki: 1

************************************************** ************************
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\HPQ\IAM\Bin\asghost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\NAVAPSVC.EXE
C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Program Files\Messenger\msmsgs.exe
.
************************************************** ************************
.
Czas ukończenia: 2008-09-15 17:46:32 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2008-09-15 15:46:27

Przed: 37,220,339,712 bajt˘w wolnych
Po: 37,211,119,616 bajt˘w wolnych

159 --- E O F --- 2008-09-15 15:27:48

  #2 (permalink)  
Stare 15.09.2008, 18:03
Junior Member
 
Zarejestrowany: Aug 2008
Postów: 66
Postów w giełdzie: 0
Domyślnie Odp: Wystąpił problem z aplikacją explorer.exe + drwtsn.exe

Są tylko ślady infekcji na pendrivi'e.


Wklej do Notatnika:
Kod:
Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{72c0f93a-566d-11dd-b209-0018deb8761d}]

[-HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{eb50df05-0ad4-11dc-b166-0018deb8761d}]
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG>>>
plik uruchom
(dwuklik i OK- zgódź się na dodanie do Rejestru).
Zrestartuj komputer.

Usuń ręcznie folder C:\Qoobox,

Usuń instalkę ComboFix z dysku.

Wykonaj optymalizację autostartu

Przeczyść komputer Ccleanerem

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja

Przeskanuj obszar swojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

lub

Dr.WEB CureIt!.


==========================
K.

  #3 (permalink)  
Stare 15.09.2008, 21:23
Junior Member
 
Zarejestrowany: Jan 2008
Postów: 22
Postów w giełdzie: 0
Domyślnie Odp: Wystąpił problem z aplikacją explorer.exe + drwtsn.exe

Wykonałem to co poradziłeś. Skanując DrWeb okazało się, że mam fajną kolekcję różnego syfu. Oto log:

Kod:
fppg1.exe	C:\	Trojan.MulDrop.6474	Usunięty.
A0009676.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.MulDrop.6474	Usunięty.
A0009677.dll	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.PWS.Wsgame.3434	Usunięty.
A0009678.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.MulDrop.6474	Usunięty.
A0009679.inf	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Win32.HLLW.Autoruner.1413	Usunięty.
A0009691.dll	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.PWS.Wsgame.3434	Usunięty.
A0009694.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.MulDrop.6474	Usunięty.
A0009695.inf	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Win32.HLLW.Autoruner.1413	Usunięty.
A0009708.dll	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.PWS.Wsgame.3434	Usunięty.
A0009711.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.MulDrop.6474	Usunięty.
A0009712.inf	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Win32.HLLW.Autoruner.1413	Usunięty.
A0009724.dll	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.PWS.Wsgame.3434	Usunięty.
A0009727.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.MulDrop.6474	Usunięty.
A0009728.inf	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Win32.HLLW.Autoruner.1413	Usunięty.
A0009740.dll	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.PWS.Wsgame.3434	Usunięty.
A0009743.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.MulDrop.6474	Usunięty.
A0009744.inf	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Win32.HLLW.Autoruner.1413	Usunięty.
A0009823.dll	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP39	Trojan.PWS.Wsgame.3434	Usunięty.
A0010052.dll	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP40	Trojan.PWS.Wsgame.3434	Usunięty.
A0010068.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP40	Trojan.MulDrop.6474	Usunięty.
A0010069.inf	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP40	Win32.HLLW.Autoruner.1413	Usunięty.
A0010079.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP41	Trojan.MulDrop.6474	Usunięty.
A0010080.inf	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP41	Win32.HLLW.Autoruner.1413	Usunięty.
A0010212.bat	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP41	Prawdopodobnie BATCH.Virus	
A0010252.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Trojan.MulDrop.6474	Usunięty.
A0010253.inf	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Win32.HLLW.Autoruner.1413	Usunięty.
A0010257.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Trojan.Recycle	Usunięty.
A0010258.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Worm.Peerav	Niewyleczalny.Przeniesiony.
A0010260.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Trojan.MulDrop.6474	Usunięty.
A0010261.dll	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Trojan.PWS.Wsgame.3434	Usunięty.
A0010265.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Trojan.Recycle	Usunięty.
A0010266.bat	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Prawdopodobnie BATCH.Virus	
A0010307.EXE	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Program.PsExec.170	
A0010309.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Trojan.Inject.2572	Usunięty.
A0010310.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	BackDoor.IRC.Sdbot.3506	Usunięty.
A0010611.exe	C:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Trojan.MulDrop.6474	Usunięty.
ComboFix.exe\327882R2FWJFW\List-C.bat	D:\ComboFix.exe	Prawdopodobnie BATCH.Virus	
ComboFix.exe\327882R2FWJFW\psexec.cfexe	D:\ComboFix.exe	Program.PsExec.171	
ComboFix.exe	D:\	Archiwum zawierające zainfekowane obiekty	
fppg1.exe	E:\	Trojan.MulDrop.6474	Usunięty.
A0009680.exe	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.MulDrop.6474	Usunięty.
A0009681.inf	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Win32.HLLW.Autoruner.1413	Usunięty.
A0009696.exe	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.MulDrop.6474	Usunięty.
A0009697.inf	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Win32.HLLW.Autoruner.1413	Usunięty.
A0009713.exe	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.MulDrop.6474	Usunięty.
A0009714.inf	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Win32.HLLW.Autoruner.1413	Usunięty.
A0009729.exe	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.MulDrop.6474	Usunięty.
A0009730.inf	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Win32.HLLW.Autoruner.1413	Usunięty.
A0009745.exe	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Trojan.MulDrop.6474	Usunięty.
A0009746.inf	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP38	Win32.HLLW.Autoruner.1413	Usunięty.
A0010070.exe	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP40	Trojan.MulDrop.6474	Usunięty.
A0010071.inf	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP40	Win32.HLLW.Autoruner.1413	Usunięty.
A0010081.exe	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP41	Trojan.MulDrop.6474	Usunięty.
A0010082.inf	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP41	Win32.HLLW.Autoruner.1413	Usunięty.
A0010254.exe	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Trojan.MulDrop.6474	Usunięty.
A0010255.inf	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Win32.HLLW.Autoruner.1413	Usunięty.
A0010612.exe	E:\System Volume Information\_restore{BB8C678F-EB43-45F5-84EE-5DEF188F2BDA}\RP42	Trojan.MulDrop.6474	Usunięty.
ctfmon.exe	E:\Recycled	Trojan.Recycle	Usunięty.
Co dalej?

  #4 (permalink)  
Stare 15.09.2008, 22:28
Avatar kaban123
Honorowy SM na emeryturze.
 
Zarejestrowany: Dec 2006
Postów: 5 487
Postów w giełdzie: 1
Domyślnie Odp: Wystąpił problem z aplikacją explorer.exe + drwtsn.exe

Skaner usunął co miał.

Wykonaj jeszcze skan narzędziem: http://cybertrash.pl/Tata/MBAM/Malwa...i-Malware.html
którego najnowszą wersję pobierzesz stąd: http://www.malwarebytes.org/mbam.php
Przed skanem zaktualizuj narzędzie.
Co znajdzie to usuń.
Loga daj tu.
__________________
Rzeczy niemożliwe załatwiam od ręki, cuda zajmują mi trochę więcej czasu...

  #5 (permalink)  
Stare 16.09.2008, 00:11
Junior Member
 
Zarejestrowany: Jan 2008
Postów: 22
Postów w giełdzie: 0
Domyślnie Odp: Wystąpił problem z aplikacją explorer.exe + drwtsn.exe

Zeskanowałem, oto wyniki:

Kod:
 Malwarebytes' Anti-Malware 1.28
Wersja bazy definicji: 1157
Windows 5.1.2600 Dodatek Service Pack 2

2008-09-16 00:08:48
mbam-log-2008-09-16 (00-08-40).txt

Typ skanowania: Pełne skanowanie (C:\|E:\|)
Przeskanowane obiekty: 88195
Upłynęło: 40 minute(s), 22 second(s)

Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 1
Zainfekowane foldery: 0
Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:
(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Zainfekowane foldery:
(Nie wykryto groźnych plików)

Zainfekowane pliki:
(Nie wykryto groźnych plików)

  #6 (permalink)  
Stare 16.09.2008, 21:46
Avatar kaban123
Honorowy SM na emeryturze.
 
Zarejestrowany: Dec 2006
Postów: 5 487
Postów w giełdzie: 1
Domyślnie Odp: Wystąpił problem z aplikacją explorer.exe + drwtsn.exe

Czyli już czysto.

Odinstaluj jeszcze Combofixa na sam koniec:
Cytat:
Menu Start --> Uruchom --> wpisać: ComboFix /u i nacisnąć Enter
Pozdrawiam kaban.
__________________
Rzeczy niemożliwe załatwiam od ręki, cuda zajmują mi trochę więcej czasu...

  #7 (permalink)  
Stare 17.09.2008, 10:51
Junior Member
 
Zarejestrowany: Jan 2008
Postów: 22
Postów w giełdzie: 0
Domyślnie Odp: Wystąpił problem z aplikacją explorer.exe + drwtsn.exe

Dzięki za pomoc, pozdrawiam!
Odpowiedz

Szybka odpowiedź
Antispam, complete the task: 
 
Wiadomość:
Opcje

Narzędzia wątku Przeszukaj ten temat
Przeszukaj ten temat:

Zaawansowane wyszukiwanie
Wygląd

Zasady postowania
Nie możesz zakładać nowych tematów
Nie możesz pisać wiadomości
Nie możesz dodawać załączników
Nie możesz edytować swoich postów

BBCode jest Włączony
EmotikonyWłączony
[IMG] kod jest Włączony
HTML kod jest Wyłączony
Trackbacks are Wyłączony
Pingbacks are Wyłączony
Refbacks are Wyłączony


Podobne wątki
Temat Autor wątku Forum Odpowiedzi Ostatni post/autor
Need For Speed Pro Street - Wystąpił problem z aplikacją nfs.exe i zostanie ona zamkn goplay problemy techniczne 14 11.01.2010 10:43
Wystąpił problem z aplikacją explorer.exe + drwtsn.exe puhatekTSW bezpieczeństwo i anonimowość 0 15.09.2008 17:51
Problem z explorer.exe i drwtsn.exe erwues Logi do sprawdzenia 6 05.09.2008 19:55
problem z aplikacją Explorer.EXE Dziadzia78 archiwum forum windows 1 22.09.2006 21:56
Wystąpił problem z aplikacją IEXPLORER.EXE cetixplus programy 2 27.06.2005 02:19


Wszystkie czasy w strefie GMT +2. Teraz jest 06:14.

Powered by vBulletin® Version 3.8.8 Beta 3
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 3.5.2
Tłumaczenie: vBHELP.pl - Polskie wsparcie vBulletin
1409631270

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345