+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Wlam przez lan - Admin sieci (/thread-446.html)
Strony:
1
2
Wlam przez lan - Admin sieci - Tomi - 31.12.2008
Od dlugiego czasu admin sieci wlazi mi na kompa. Kiedys mu o tym powiedzialem myslalem ze sie uspokoil ale dalej. Mam mase antyrootkitow i niektore cos wykrywaly inne nie. W koncu uzylem Gmera pokazywal cos takiego.
[Aby zobaczyć linki, zarejestruj się tutaj]
Wszedlem w tryb awaryjny i wlaczylem przez niego mojego avasta - wykryl rootkit win32.AGENT-ABJY + H@tKeysH@@ck.dll (moze nie miec zwiazku). W tej chwili zmienilem na avire - wykryl kilka innych wirow - co w sumie nie jest takie wazne ... W czym jest problem. Admin zrobil sobie roota na moim winxp - od dawna mialem wylaczona usluge serwer ale widac przez pomoc zdalna lub tez telnet welazil - potem rootkit i juz. Jesli sie myle nich ktos mnie poprawi.
Ktore uslugi mam wylaczyc z "Zarządzanie komputerem" aby mniec pewnosc (kilka jeszcze teraz wylaczylem ale moglem cos przeoczyc) ? Jak wylaczyc jego konto ktore sobie zrobil o nazwie "administrator" ?? Net mam z jego linuxowego servera ...
To co mialem do tej pory win xp + sp2 (i mniej wiecej najnowsze latki) + avast + kerio personal fire wall + spy bot + Malwarebytes'' Anti-Malware. Teraz idzie stale jeszcze SnoopFree (nie wiem czy cos da) na takie ataki ... gdzie ma pelny zapis na mojego kompa.
Czy jest jakas szansa na prywatonosc ?
Z gory dzieki za pomoc - jesli cos pokrecilem lub nie jasno napisalem to mowcie smialo
Teraz po zainstalowaniu aviry wykrywa mi TR/Trash.Gen Trojan (moze nie miec zwiazku)
Re: Wlam przez lan - Admin sieci - Plati - 31.12.2008
oczywiście jak avira coś wykrywa to dawaj na DELETE.
Żeby nikt nie właził ci na kompa polecam PeerGuardian 2.
Polecam zestaw - Avira Personal + MBAM + SuperAntispyware + Comodo Firewall + Peerguardian2.
i oczywiście łaty do systemu
proponuje jeszcze pousuwać inne antyspywary.
Re: Wlam przez lan - Admin sieci - Tomi - 31.12.2008
dziekim plati. SuperAntispyware - wczoraj zainstalowalem i uzywam. Przejze te programy ktore poleciles. Dopisze jeszcze ze np wczoraj kiedy "walczylem" tryby awaryjne gmer itp to mialem przy probie wylogowania/wylaczenia (po skasowaniu rootkita przez avast - "Na tym komputerze zdalnym zalogowane sa inne osoby" ... tak jak mowie czesc uslug jeszcze powylaczalem ... ale nie wiem czy wszystkie
Ps wrzucilem w google MBAM - jesli chodzi o Malwarebytes'' Anti-Malware - to uzywam go od dawna
Re: Wlam przez lan - Admin sieci - Plati - 31.12.2008
a aktualizujesz MBAM, SAS i Avire? Zaktualizuj teraz te programy, łącznie z Peerguardianem2. Nastepnie przeskanuj komputer SAS i MBAM i napisz czy coś wykryły.
i tak jak wczesniej napisalem - odinstaluj inne antyspyware i antywirusy, a zostaw te, ktore ci zaproponowalem.
Re: Wlam przez lan - Admin sieci - Jurek - 31.12.2008
Tomi napisał(a):dziekim plati. SuperAntispyware - wczoraj zainstalowalem i uzywam. Przejze te programy ktore poleciles. Dopisze jeszcze ze np wczoraj kiedy "walczylem" tryby awaryjne gmer itp to mialem przy probie wylogowania/wylaczenia (po skasowaniu rootkita przez avast - "Na tym komputerze zdalnym zalogowane sa inne osoby" ... tak jak mowie czesc uslug jeszcze powylaczalem ... ale nie wiem czy wszystkie
Ps wrzucilem w google MBAM - jesli chodzi o Malwarebytes'' Anti-Malware - to uzywam go od dawna
Ja polecam Outpost Firewall Pro 2009 i jego skaner antyspyware. Też miałem włamy na kompa i wrzucanie wirów ale od kiedy zainstalowałem tego firewalla jest spokój. Po kilkudziesięciu próbach nieudanych ataków hakerzy dali sobie spokój
Re: Wlam przez lan - Admin sieci - Plati - 31.12.2008
Jurek napisał(a):Tomi napisał(a):dziekim plati. SuperAntispyware - wczoraj zainstalowalem i uzywam. Przejze te programy ktore poleciles. Dopisze jeszcze ze np wczoraj kiedy "walczylem" tryby awaryjne gmer itp to mialem przy probie wylogowania/wylaczenia (po skasowaniu rootkita przez avast - "Na tym komputerze zdalnym zalogowane sa inne osoby" ... tak jak mowie czesc uslug jeszcze powylaczalem ... ale nie wiem czy wszystkie
Ps wrzucilem w google MBAM - jesli chodzi o Malwarebytes'' Anti-Malware - to uzywam go od dawna
Ja polecam Outpost Firewall Pro 2009 i jego skaner antyspyware. Też miałem włamy na kompa i wrzucanie wirów ale od kiedy zainstalowałem tego firewalla jest spokój. Po kilkudziesięciu próbach nieudanych ataków hakerzy dali sobie spokój
tak Jurek, ale Tomi chce odsypać się od wirusów i włamów na kompa (podejrzewam że jak najszybciej), a Outpost Pro jest PŁATNY.
TOMI, widze ze masz zaainstalowanego Sunbelt Firewall - usuń go, zainstaluj Comodo Firewall.
Re: Wlam przez lan - Admin sieci - Tomi - 31.12.2008
Tylko ze wiry i spyware rootkity itp powstaja w wyniku wlamania przez lan - typu nazwa komputera/$ itp (rozne metody) Wtedy ma pelny zapis i se moze w rzucac mi na dysk co chce jak chce i kiedy chce. Ma konto administrator na moim kompie. Gdybym nie mial z nim polaczenia lan i nie bral netaod niego nie mialbym problemow. Oczywiscie moge sie mylic ...Jesli pomoze na to Peerguardian2 czy Comodo Firewall to super - juz je mam na hdd po skanach odinstaluje kerio i walne je
(chyba ze sam Comodo Firewall wystarczy) Narazie skanuje kolejny raz Avira + superantispyware. Jesli chodzi o Malwarebytes'' Anti-Malware i spy bota to od dawna mi nic nie wykrywaja - zawsze przed skanem robie upa.
Re: Wlam przez lan - Admin sieci - Plati - 31.12.2008
ni napisales czy zainstalowales i zaktualizowales PeerGuardiana2.
Spybota i Avasta możesz spokojnie usunąć, Spybot nie zabardzo usuwa, Avast niektorych infekcji nie widzi.
Jeżeli po usunięciu Sunbelt Firewall, Avasta, Spybota, Kerio,SnopFree i zainstalowaniu mojego zestawu - Avira Personal + MBAM + SuperAntispyware + Comodo Firewall + Peerguardian2 i dalszych problemów napisz, mam jeszcze jeden program w zanadrzu, jako ostatnia deska ratunku.
Aha, masz SP2 ?? Zainstaluj SP3 . link -
[Aby zobaczyć linki, zarejestruj się tutaj]
jezeli te wszystkie programy co ci proponuję nie pomogą, ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
, następnie wyłącz Guarda w Avirze i zacznij skanoa Combofixem. Podczas skanu musisz się wstrzymąc od jakichkolwiek operacji na komputerze - nawet surfowania po internecie. Po około 10 minutach combofix przygotuje log, który dasz tutaj na forum, a logiem Serafin się już zajmie
Re: Wlam przez lan - Admin sieci - Tomi - 31.12.2008
hihhi
;p Co do skanuavira - ostrzezenia - stan na teraz.
8454 Scanning directories
294057 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
294054 Files not concerned
1614 Archives were scanned
5 Warnings
0 Notes
46327 Objects were scanned with rootkit scan
0 Hidden objects were found
SuperAntiSpyware - czysto
To teraz instaluje te 2 programiki potem zajme sie sp3.
Cobofix
ComboFix 08-12-29.02 - XXXX 2008-12-310:47:16.1 - NTFSx86
Microsoft Windows XP Professional5.1.2600.2.1250.1.1045.18.2046.1460 [GMT 1:00]
Uruchomiony z: c:documents and settingsXXXXXPulpitComboFix.exe
* Utworzono nowy punkt przywracania
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.
ADS - system32: deleted 12 bytes in 1 streams.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:windowsOPTIONSCABS_desktop.ini
c:windowssystem32404Fix.exe
c:windowssystem32dumphive.exe
c:windowssystem32IEDFix.C.exe
c:windowssystem32SrchSTS.exe
c:windowssystem32tmp.reg
c:windowssystem32VACFix.exe
c:windowssystem32VCCLSID.exe
c:windowssystem32WS2Fix.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2008-11-28 do 2008-12-30)))))))))))))))))))))))))))))))
.
2008-12-30 20:36 . 2008-04-17 21:13 811,008 --a------ C:gmer.exe
2008-12-30 19:18 . 2008-12-31 00:20 367 --a------ c:windowsgmer.ini
2008-12-29 21:23 . 2008-12-29 21:23 3,252,224 --a------ c:windowssystem32SIC
2008-12-29 21:22 . 2008-12-29 21:31 <DIR> d-------- c:documents and settingsxxxxxxPavark
2008-12-29 21:08 . 2008-12-29 21:08 0 --a------ c:windowssystem32A
2008-12-29 19:06 . 2008-12-29 19:06 <DIR> d-------- c:program filesSUPERAntiSpyware
2008-12-29 19:06 . 2008-12-29 19:06 <DIR> d-------- c:documents and settingsxxx
ane aplikacjiSUPERAntiSpyware.com2008-12-29 19:06 . 2008-12-29 19:06 <DIR> d-------- c:documents and settingsAll UsersDane aplikacjiSUPERAntiSpyware.com
2008-12-23 01:50 . 2008-12-23 01:50 <DIR> d--hs---- C:found.000
2008-12-16 20:45 . 2008-12-16 20:45 <DIR> d-------- c:documents and settingsAll UsersDane aplikacji2DBoy
2008-12-15 17:21 . 2008-12-15 17:21 <DIR> d-------- c:program filesPanda Security
2008-12-15 17:21 . 2008-06-19 17:24 28,544 --a------ c:windowssystem32driverspavboot.sys
2008-12-14 17:36 . 2008-12-14 17:36 <DIR> d-------- c:program files2K Games
2008-12-13 14:54 . 2008-12-13 14:54 <DIR> d-------- c:program filesMplayer
2008-12-13 14:50 . 2008-12-13 15:33 777 --a------ c:windowsQIII.INI
2008-12-12 17:36 . 2008-12-12 17:36 <DIR> d-------- c:program filesSophos
2008-12-05 14:12 . 2008-12-30 19:08 <DIR> d-------- c:program filesCCleaner
2008-11-17 17:08 . 2008-11-18 01:51 <DIR> d-------- c:program filesStrong dc ++ 221
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-30 18:10 --------- d-----w c:documents and settingsAll UsersDane aplikacjiSpybot - Search & Destroy
2008-12-30 17:36 --------- d-----w c:documents and settingsxx
ane aplikacjiSkype2008-12-30 17:24 --------- d-----w c:documents and settingsxxx
ane aplikacjiskypePM2008-12-29 18:06 --------- d-----w c:program filesCommon FilesWise Installation Wizard
2008-12-20 19:55 --------- d-----w c:program filesSpeedFan
2008-12-17 21:08 --------- d---a-w c:documents and settingsAll UsersDane aplikacjiTEMP
2008-12-15 16:11 --------- d-----w c:documents and settingsxxxx
ane aplikacjiFree Download Manager2008-12-10 12:32 --------- d-----w c:documents and settingsxxxxx
ane aplikacjiVidalia2008-12-10 12:32 --------- d-----w c:documents and settingsxxxx
ane aplikacjitor2008-12-05 13:08 --------- d-----w c:program filesMalwarebytes'' Anti-Malware
2008-12-03 18:52 38,496 ----a-w c:windowssystem32driversmbamswissarmy.sys
2008-12-03 18:52 15,504 ----a-w c:windowssystem32driversmbam.sys
2008-11-13 13:20 --------- d-----w c:program filesSpybot - Search & Destroy
2008-10-31 21:53 --------- d-----w c:program filesCommon FilesAdobe
2008-10-24 19:43 107,888 ----a-w c:windowssystem32CmdLineExt.dll
2008-10-24 19:39 22,328 ----a-w c:documents and settingsxxxx
ane aplikacjiPnkBstrK.sys2008-10-24 19:38 2,250,024 ----a-w c:windowssystem32pbsvc.exe
2008-10-24 19:38 107,832 ----a-w c:windowssystem32PnkBstrB.exe
2008-10-02 17:06 86,016 ----a-w c:windowssystem32OpenAL32.dll
2008-09-30 15:43 1,286,152 ----a-w c:windowssystem32msxml4.dll
2008-09-18 00:41 42,320 ----a-w c:windowssystem32xfcodec.dll
2008-09-17 07:55 453,152 ----a-w c:windowssystem32nvudisp.exe
2008-09-16 19:27 453,152 ----a-w c:windowssystem32nvuninst.exe
2008-09-15 15:40 1,846,272 ----a-w c:windowssystem32win32k.sys
2008-09-10 07:41 81,920 ----a-w c:windowssystem32frapsvid.dll
2008-09-04 16:46 1,106,944 ----a-w c:windowssystem32msxml3.dll
2008-09-04 07:31 288,024 ----a-w c:windowssystem32PhysXCplUI.exe
2008-06-25 15:01 1 ----a-w c:documents and settingsxxxxSI.bin
2007-11-19 20:24 32 ----a-w c:documents and settingsAll UsersDane aplikacjiezsid.dat
2005-09-09 18:55 7,155,864 ----a-w c:program filesNGhost10.msi
2005-09-09 18:55 37,766,164 ----a-w c:program filesData1.cab
2005-09-09 18:55 35 ----a-w c:program filesSCSSDist.ini
2008-05-23 01:27 56 --sh--r c:windowssystem325FC35FACC8.sys
2008-05-23 01:27 1,682 --sha-w c:windowssystem32KGyGaAvL.sys
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Gadu-Gadu"="c:program filesGadu-GaduStrongGG.exe" [2008-05-16 21504]
"AlcoholAutomount"="c:program filesAlcohol SoftAlcohol 120axcmd.exe" [2007-07-02 220544]
"SpybotSD TeaTimer"="c:program filesSpybot - Search & DestroyTeaTimer.exe" [2008-09-16 1833296]
"DAEMON Tools Lite"="c:program filesDAEMON Tools Litedaemon.exe" [2008-03-14 486856]
"MSMSGS"="c:program filesMessengermsmsgs.exe" [2004-10-13 1694208]
"SUPERAntiSpyware"="c:program filesSUPERAntiSpywareSUPERAntiSpyware.exe" [2008-12-22 1830128]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Gainward"="c:program filesVDOToolTBPanel.exe" [2007-10-02 2165272]
"WinampAgent"="c:program filesWinampwinampa.exe" [2006-06-21 35328]
"DU Meter"="c:program filesDU MeterDUMeter.exe" [2003-06-22 1297920]
"HPDJ Taskbar Utility"="c:windowssystem32spooldriversw32x863hpztsb04.exe" [2001-11-01 196608]
"ISUSPM"="c:program filesCommon FilesInstallShieldUpdateServiceisuspm.exe" [2006-03-20 213936]
"avast!"="c:progra~1ALWILS~1Avast4ashDisp.exe" [2008-11-26 81000]
"NvCplDaemon"="c:windowssystem32NvCpl.dll" [2008-10-07 13574144]
"Adobe Reader Speed Launcher"="c:program filesAdobeReader 9.0ReaderReader_sl.exe" [2008-06-12 34672]
"NvMediaCenter"="c:windowssystem32NvMcTray.dll" [2008-10-07 86016]
"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 c:windowsLOGI_MWX.EXE]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 c:windowsRTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-10-07 c:windowssystem32nwiz.exe]
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="c:windowsSystem32CTFMON.EXE" [2004-08-04 15360]
c:documents and settingsAll UsersMenu StartProgramyAutostart
Microsoft Office.lnk - c:program filesMicrosoft OfficeOfficeOSA9.EXE [1999-02-17 65588]
[hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorerShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:program filesSUPERAntiSpywareSASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogonnotify!SASWinLogon]
2008-12-22 11:05 356352 c:program filesSUPERAntiSpywareSASWINLO.dll
[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
"vidc.I420"= i263_32.drv
"vidc.iv31"= c:windowssystem32ir32_32.dll
"vidc.iv32"= c:windowssystem32ir32_32.dll
"msacm.ac3filter"= ac3filter.acm
"VIDC.XFR1"= xfcodec.dll
"msacm.dvacm"= c:progra~1COMMON~1ULEADS~1VioDvacm.acm
"msacm.MPEGacm"= c:progra~1COMMON~1ULEADS~1MPEGMPEGacm.acm
"msacm.ulmp3acm"= c:progra~1COMMON~1ULEADS~1MPEGulmp3acm.acm
"VIDC.D263"= xl_x263dec.dll
"vidc.X264"= x264vfw.dll
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalaawservice]
@=""
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinmb36.sys]
@="Driver"
[HKLM~startupfolderC:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Privoxy.lnk]
backup=c:windowspssPrivoxy.lnkCommon Startup
path=c:documents and settingsAll UsersMenu StartProgramyAutostartPrivoxy.lnk
HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregISUSPM Startup
HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregISUSScheduler
HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNeroFilterCheck
HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvCplDaemon
HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregnwiz
HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSunJavaUpdateSched
[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregFree Upload Manager]
--a------ 2007-07-29 19:13 253952 c:program filesFree Download ManagerFUMfum.exe
[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMSMSGS]
--a------ 2004-10-13 17:24 1694208 c:program filesMessengermsmsgs.exe
[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQuickTime Task]
--a------ 2008-05-27 09:50 413696 c:program filesQuickTimeQTTask.exe
[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe"=
"c:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe"=
"c:\WINDOWS\Network Diagnostic\xpnetdiag.exe"=
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\Program Files\strong DC++ 212\StrongDC.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"c:\Program Files\Xfire\xfire.exe"=
"d:\gry\Civilization\Colonization.exe"=
"d:\gry\Far Cry 2\bin\FarCry2.exe"=
"d:\gry\Far Cry 2\bin\FC2Launcher.exe"=
"d:\gry\Far Cry 2\bin\FC2Editor.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
"12503:TCP"= 12503:TCP:BitComet 12503 TCP
"12503:UDP"= 12503:UDP:BitComet 12503 UDP
[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileIcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 pavboot;pavboot;c:windowssystem32driverspavboot.sys [2008-12-15 28544]
R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [2008-07-23 111184]
R1 SASDIFSV;SASDIFSV;??c:program filesSUPERAntiSpywareSASDIFSV.SYS [2008-12-22 8944]
R1 SASKUTIL;SASKUTIL;??c:program filesSUPERAntiSpywareSASKUTIL.sys [2008-12-22 55024]
R1 SbFw;SbFw;c:windowssystem32driversSbFw.sys [2008-08-31 269736]
R1 sbhips;Sunbelt HIPS Driver;c:windowssystem32driverssbhips.sys [2008-06-21 66600]
R2 aswFsBlk;aswFsBlk;c:windowssystem32DRIVERSaswFsBlk.sys [2008-07-23 20560]
R2 SbPF.Launcher;SbPF.Launcher;"c:program filesSunbelt SoftwarePersonal FirewallSbPFLnch.exe" [2008-07-30 95528]
R2 SPF4;Sunbelt Personal Firewall 4;"c:program filesSunbelt SoftwarePersonal FirewallSbPFSvc.exe" [2008-07-30 1361192]
R3 SASENUM;SASENUM;??c:program filesSUPERAntiSpywareSASENUM.SYS [2008-12-22 7408]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:windowssystem32DRIVERSsbfwim.sys [2008-08-31 65576]
S0 Winmb36;Winmb36;c:windowssystem32DriversWinmb36.sys []
S1 TVicPort64;TVicPort64;??c:windowsSysWOW64driversTVicPort64.sys []
S3 CV2K1;CommView Network Monitor;c:windowssystem32DRIVERScv2k1.sys []
S3 hamachi_oem;PlayLinc Adapter;c:windowssystem32DRIVERSgan_adapter.sys [2006-08-28 10664]
S3 MEMSWEEP2;MEMSWEEP2;??c:windowssystem323B.tmp []
S3 rkhdrv40;Rootkit Unhooker Driver; []
S3 TOTUVR;TOTUVR;c:docume~1xxxxUSTAWI~1TempTOTUVR.exe []
S3 ZPTCCHIYDJJ;ZPTCCHIYDJJ;c:docume~1xxxxUSTAWI~1TempZPTCCHIYDJJ.exe []
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Zawartość folderu ''Zaplanowane zadania''
2008-12-13 c:windowsTasksAppleSoftwareUpdate.job
- c:program filesApple Software UpdateSoftwareUpdate.exe [2008-04-11 16:57]
.
- - - - USUNIĘTO PUSTE WPISY - - - -
BHO-{6CE9E11B-743D-420E-AA8B-4A3A6A0553A4} - (no file)
BHO-{B0B949BA-3B01-468A-BE9F-BD0871695857} - (no file)
BHO-{F3914A4C-7F09-4F65-B1DF-1778C14E15A1} - (no file)
Notify-wvUnNgGX - (no file)
MSConfigStartUp-CTFMON - (no file)
.
------- Skan uzupełniający -------
.
IE: Pobierz plik wideo we Free Download Manager -
[Aby zobaczyć linki, zarejestruj się tutaj]
filesFree Download Managerdlfvideo.htmIE: Pobierz w Free Download Manager -
[Aby zobaczyć linki, zarejestruj się tutaj]
filesFree Download Managerdllink.htmIE: Pobierz wszystkie pliki w Free Download Manager -
[Aby zobaczyć linki, zarejestruj się tutaj]
filesFree Download Managerdlall.htmIE: Pobierz zaznaczone w Free Download Manager -
[Aby zobaczyć linki, zarejestruj się tutaj]
filesFree Download Managerdlselected.htmIE: {{FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - c:program filesFree Download ManagerFUMfumiebtn.dll
Trusted Zone: mks.com.pl
O16 -: DirectAnimation Java Classes -
[Aby zobaczyć linki, zarejestruj się tutaj]
c:windowsDownloaded Program FilesDirectAnimation Java Classes.osdO16 -: Microsoft XML Parser for Java -
[Aby zobaczyć linki, zarejestruj się tutaj]
c:windowsDownloaded Program FilesMicrosoft XML Parser for Java.osdc:windowssystem32SkanerOnlineUninstall.exe - c:windowssystem32SkanerOnline.dll
O16 -: {68282C51-9459-467B-95BF-3C0E89627E55}
[Aby zobaczyć linki, zarejestruj się tutaj]
c:windowsDownloaded Program FilesSkanerOnline.infFF - ProfilePath - c:documents and settingsxx
ane aplikacjiMozillaFirefoxProfilesgc0op2ea.defaultFF - prefs.js: browser.startup.homepage - netwars.pl
FF - plugin: c:program filesMozilla FirefoxpluginsNPSignPlugin.dll
FF - plugin: c:program filesYahoo!Commonnpyaxmpb.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
[Aby zobaczyć linki, zarejestruj się tutaj]
Rootkit scan 2008-12-31 00:51:46Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINEsystemControlSet001ServicesMEMSWEEP2]
"ImagePath"="??c:windowssystem323B.tmp"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > ''winlogon.exe''(1016)
c:program filesSUPERAntiSpywareSASWINLO.dll
.
Czas ukończenia: 2008-12-310:54:13
ComboFix-quarantined-files.txt2008-12-30 23:54:08
Przed: 2 616 504 320 bajtów wolnych
Po: 2,605,371,392 bajtów wolnych
240 --- E O F --- 2008-11-15 23:10:22
Re: Wlam przez lan - Admin sieci - Plati - 31.12.2008
0 viruses and/or unwanted programs were found - czysto.
Re: Wlam przez lan - Admin sieci - Tomi - 31.12.2008
sorry edytowalem posta i wkleilem combofixa - tak teraz czysto ale skanowanie wczesniej wykrywalo TR/Trash.Gen - ktory jest juz w kwarantanie (zebym pamietal jego nazwe ;p)
Re: Wlam przez lan - Admin sieci - Plati - 31.12.2008
Wiesz co, na logach z Combofixa się... nie znam
musisz poczekać na Serafina, on jest ekspertem od wszelkiej maści logów.a zainstalowałeś i zrobiłeś upa Peerguardiana 2 ? Nic nie zablokował? i jak z Comodo firewall?
Re: Wlam przez lan - Admin sieci - .x.Wojtek.x. - 31.12.2008
Właściwie to trzeba poczekać na Serafina, bo u mnie z logami nie za bardzo. Spróbuj peerguardianem, możesz nawet online armorem.
Re: Wlam przez lan - Admin sieci - Tomi - 31.12.2008
Zainstalowalem peerguardiana 2 a potem comodo - ktory odrazu zaczal skanowac tyle ze nie zrobil upa bo go peer zblokowal. W kazdym razie Comodo wyszukal
[Aby zobaczyć linki, zarejestruj się tutaj]
Po skanie zaczal sie wlaczac comodo i odrazu wykryl siec wie akceptowalem a potem oznajmil ze moj komputer laczy sie z innym ... kotre zblokowalem - jego komp i jego ip ... tyle ze ten z koncowka 12 nie wiem czym jest
[Aby zobaczyć linki, zarejestruj się tutaj]
Potem up i restart. I tu mam wlasnie pytanie. po restarcie nie pojawila mi sie ikonka comodo na pasku "tarcza"
- to jest normalny objaw - czy powinna sie ta ikonka uruchamiac - wydaje mi sie ze chodzil w tle ale wole podpytac. Nowy soft wiec musze go rozkminic ;pPs. Znalazlem na pasku zadan cos takiego Administrative tools ---> server extensions --->> FPMMC Console root/Front page server extension - co to jest ?
Re: Wlam przez lan - Admin sieci - Plati - 31.12.2008
jak peerguardian zablokował Comodo to dodaj wyjątek czy coś do PG2 żeby nie blokowalo Aviry ani Comodo.
Zainstalowałeś Comodo Internet Security!! Zainstaluj Comodo Firewall, ponieważ Internet Security zawiera również antywirusa, a przecież już masz na dysku Avire
Re: Wlam przez lan - Admin sieci - Serafin - 31.12.2008
Proszę o aktualny log z combofixa.
Re: Wlam przez lan - Admin sieci - Tomi - 31.12.2008
Uruchomilem cobofixa z normalnego trybu i comodo internet security zaczal wskazywac na jakies wiry - zblokowal je i combofix sie nie uruchomil - nie masz uprawnien ... - wlaczylem z pod awaryjnego. Nie wiem czy ten log wyszedl jak trzeba ?
Ps. Zaraz zmienie na samego fire walla od comodo ;p[Aby zobaczyć linki, zarejestruj się tutaj]
(nie wiedzialem gdzie go wam wrzucic bo strasznie duzo zajmuje i na www musialbym go dzielic)
Re: Wlam przez lan - Admin sieci - Tomi - 01.01.2009
Mam pytanie co do ustawien Aviry - mialem mniej wiecej standardowe i nie wykrywalo nic. Zmienilem ustawienia zgodnie z FAQ i
[Aby zobaczyć linki, zarejestruj się tutaj]
zatrzymal skanowanie na 8.2% twierdzac ze juz kuniec ;p. Combofixa i spybota tez zaatakowal. Chyba lepiej wrocic do standardowych ustawien ?
Ps. Jak logi ? Widac cos ? Czy jestem bezpieczny ?
Re: Wlam przez lan - Admin sieci - Serafin - 01.01.2009
Przeskanuj system za pomocą
[Aby zobaczyć linki, zarejestruj się tutaj]
Pobierz program
[Aby zobaczyć linki, zarejestruj się tutaj]
* Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:SDFix)
* Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)
* Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat
* Wciśnij Ynastąpi proces usuwania.
* Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
* Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.
* Pokaż Report.txt znajdujący się w folderze SDFix.
Po zabiegach dajesz nowy log z hijacka i log z
[Aby zobaczyć linki, zarejestruj się tutaj]
oraz raport zSDFixRe: Wlam przez lan - Admin sieci - Tomi - 01.01.2009
Dr.Weeb raczej czysty - tzn wykryl 10 zagrozen- spybot + sdfix + xsharez Teraz male pytanie o polaczenia
[Aby zobaczyć linki, zarejestruj się tutaj]
Ten IP zaczynajacy sie na 213 port 6112 - jest to adres servera pewnej gry sieciowej. Zeby w nia grac musze miec port puszczony przez jego server + u mnie na FW tez musze go puscic. Gry zadnej od dawna nie wlaczalem. Pojawia sie pytanie czysto teoretyczne czy ktos mogl sie podac za ten server i probowac sie polaczyc ? Adres konczancy sie na .16 odnoszacy sie do portu 23843 - no wlasnie nie wiem tez co to jest. Mialem od niego jeszcze kilka zapytan zblokowanych do roznych portow. Moze to zwykly ruch w sieci ale wole podpytac.
Logi:
SDFix
SDFix: Version 1.240
Run by xxxx on 2009-01-01 at 21:09
Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:WINDOWSsystem32a - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
[Aby zobaczyć linki, zarejestruj się tutaj]
Rootkit scan 2009-01-01 21:17:09Windows 5.1.2600 Dodatek Service Pack 2 NTFS
detected NTDLL code modification:
ZwClose
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000003
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfgD79C293C1ED61418462E24595C90D04]
"p0"="C
rogram FilesAlcohol SoftAlcohol 120""h0"=dword:00000000
"ujdew"=hex:5a,6c,71,83,7d,b5,65,e4,54,43,9b,80,64,13,33,cc,8f,17,b6,99,2d,..
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000002
"hdf12"=hex:58,84,8e,75,8f,5d,80,2b,54,b6,8d,b6,01,3b,fd,d2,ec,56,c3,90,6b,..
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:68,65,42,95,cc,87,b8,16,bf,e7,c8,65,b8,63,03,19,6b,fb,12,bc,73,..
"p0"="C
rogram FilesDAEMON Tools Lite"[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg19659239224E364682FA4BAF72C53EA40000001]
"a0"=hex:20,01,00,00,b3,9d,6e,70,59,37,67,14,e7,f7,22,54,05,3f,e8,a1,75,..
"khjeh"=hex:6d,fc,70,ee,00,e9,2f,07,23,c3,dc,a6,f9,6b,cd,c9,bd,c9,8f,d1,f6,..
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg19659239224E364682FA4BAF72C53EA40000001Jf40]
"khjeh"=hex:fa,8a,43,ef,bc,73,0b,97,2b,ab,8d,fd,2d,b6,07,de,bb,18,93,4a,f4,..
[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicessptdCfgD79C293C1ED61418462E24595C90D04]
"p0"="C
rogram FilesAlcohol SoftAlcohol 120""h0"=dword:00000000
"ujdew"=hex:5a,6c,71,83,7d,b5,65,e4,54,43,9b,80,64,13,33,cc,8f,17,b6,99,2d,..
[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicessptdCfg14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000002
"hdf12"=hex:58,84,8e,75,8f,5d,80,2b,54,b6,8d,b6,01,3b,fd,d2,ec,56,c3,90,6b,..
[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicessptdCfg19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:68,65,42,95,cc,87,b8,16,bf,e7,c8,65,b8,63,03,19,6b,fb,12,bc,73,..
"p0"="C
rogram FilesDAEMON Tools Lite"[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicessptdCfg19659239224E364682FA4BAF72C53EA40000001]
"a0"=hex:20,01,00,00,b3,9d,6e,70,59,37,67,14,e7,f7,22,54,05,3f,e8,a1,75,..
"khjeh"=hex:6d,fc,70,ee,00,e9,2f,07,23,c3,dc,a6,f9,6b,cd,c9,bd,c9,8f,d1,f6,..
[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicessptdCfg19659239224E364682FA4BAF72C53EA40000001Jf40]
"khjeh"=hex:fa,8a,43,ef,bc,73,0b,97,2b,ab,8d,fd,2d,b6,07,de,bb,18,93,4a,f4,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe"="C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe:*
isabled:SiSoftware Database Agent Service""C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe"="C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe:*
isabled:SiSoftware Sandra Agent Service""C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"="C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*
isabled:@xpsp3res.dll,-20000""C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*
isabled:@xpsp2res.dll,-22019""C:\Program Files\strong DC++ 212\StrongDC.exe"="C:\Program Files\strong DC++ 212\StrongDC.exe:*:Enabled:StrongDC++"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled
nkBstrA""C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled
nkBstrB""C:\Program Files\Xfire\xfire.exe"="C:\Program Files\Xfire\xfire.exe:*:Enabled:Xfire"
"D:\gry\Civilization\Colonization.exe"="D:\gry\Civilization\Colonization.exe:*:Enabled:Sid Meier''s Civilization IV Colonization"
"D:\gry\Far Cry 2\bin\FarCry2.exe"="D:\gry\Far Cry 2\bin\FarCry2.exe:*:Enabled:Far Cry 2"
"D:\gry\Far Cry 2\bin\FC2Launcher.exe"="D:\gry\Far Cry 2\bin\FC2Launcher.exe:*:Enabled:Far Cry 2 Updater"
"D:\gry\Far Cry 2\bin\FC2Editor.exe"="D:\gry\Far Cry 2\bin\FC2Editor.exe:*:Enabled:Editor"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Remaining Files :
File Backups: - C:SDFixbackupsbackups.zip
Files with Hidden Attributes :
Wed 13 Oct 2004 1,694,208 ..SH. --- "C
rogram FilesMessengermsmsgs.exe"Wed 22 Oct 2008 949,072 A.SHR --- "C
rogram FilesSpybot - Search & Destroyadvcheck.dll"Mon 15 Sep 2008 1,562,960 A.SHR --- "C
rogram FilesSpybot - Search & DestroySDHelper.dll"Wed 30 Jul 2008 1,429,840 A.SHR --- "C
rogram FilesSpybot - Search & DestroySDUpdate.exe"Wed 30 Jul 2008 4,891,984 A.SHR --- "C
rogram FilesSpybot - Search & DestroySpybotSD.exe"Tue 16 Sep 2008 1,833,296 A.SHR --- "C
rogram FilesSpybot - Search & DestroyTeaTimer.exe"Wed 22 Oct 2008 962,896 A.SHR --- "C
rogram FilesSpybot - Search & DestroyTools.dll"Fri 23 May 200856 ..SHR --- "C:WINDOWSsystem325FC35FACC8.sys"
Fri 23 May 2008 1,682 A.SH. --- "C:WINDOWSsystem32KGyGaAvL.sys"
Wed7 May 2008 4,348 A.SH. --- "C
ocuments and SettingsAll UsersDRMDRMv1.bak"Fri 11 Jul 2008 0 A.SH. --- "C
ocuments and SettingsAll UsersDRMCacheIndiv01.tmp"Sat 15 Nov 2008 0 A..H. --- "C:WINDOWSSoftwareDistributionDownload8b79ee39c52e6f483392b649e7069792BIT19.tmp"
Sat 15 Nov 2008 0 A..H. --- "C:WINDOWSSoftwareDistributionDownloada2c3f287c275808feaac9ba9a8c1f356BIT15.tmp"
Sun 28 Sep 2008 1,301 ...HR --- "C
ocuments and Settingsxxxane aplikacjiSecuROMUserDatasecurom_v7_01.bak"Finished!
Hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:26:45, on 2009-01-01
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C
rogram FilesAviraAntiVir PersonalEdition Classicsched.exeC:WINDOWSExplorer.EXE
C
rogram FilesAviraAntiVir PersonalEdition Classicavguard.exeC
rogram FilesCOMODOFirewallcmdagent.exeC
rogram FilesCommon FilesLightScribeLSSrvc.exeC:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32PnkBstrA.exe
C:WINDOWSsystem32PnkBstrB.exe
C
rogram FilesAlcohol SoftAlcohol 120StarWindStarWindServiceAE.exeC:WINDOWSSystem32svchost.exe
C
rogram FilesCommon FilesUlead SystemsDVDULCDRSvr.exeC:WINDOWSsystem32wscntfy.exe
C
rogram FilesVDOToolTBPanel.exeC
rogram FilesWinampwinampa.exeC
rogram FilesLogitechMouseWaresystemem_exec.exeC
rogram FilesDU MeterDUMeter.exeC:WINDOWSsystem32spooldriversw32x863hpztsb04.exe
C
rogram FilesCommon FilesInstallShieldUpdateServiceisuspm.exeC:WINDOWSRTHDCPL.EXE
C:WINDOWSsystem32RUNDLL32.EXE
C
rogram FilesAviraAntiVir PersonalEdition Classicavgnt.exeC
rogram FilesCOMODOSafeSurfcssurf.exeC
rogram FilesCOMODOFirewallcfp.exeC
rogram FilesSpybot - Search & DestroyTeaTimer.exeC
rogram FilesGadu-Gadugg.exeC
rogram FilesDAEMON Tools Litedaemon.exeC
rogram FilesSUPERAntiSpywareSUPERAntiSpyware.exeC
rogram FilesMozilla Firefoxfirefox.exeC
rogram FilesTrend MicroHijackThisHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
[Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =[Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =[Aby zobaczyć linki, zarejestruj się tutaj]
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =[Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C
rogram FilesYahoo!CompanionInstallscpn0yt.dllR3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C
rogram FilesAskSBarSrchAstt1.binA2SRCHAS.DLLO2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C
rogram FilesYahoo!CompanionInstallscpn0yt.dllO2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C
rogram FilesAskSBarSrchAstt1.binA2SRCHAS.DLLO2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C
rogram FilesAskBarDisbarbinaskBar.dllO2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C
ROGRA~1SPYBOT~1SDHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C
rogram FilesJavajre1.6.0_05binssv.dllO2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C
rogram FilesFree Download Manageriefdm2.dllO3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C
rogram FilesYahoo!CompanionInstallscpn0yt.dllO3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C
rogram FilesAskSBarbar1.binASKSBAR.DLLO4 - HKLM..Run: [Gainward]C
rogram FilesVDOToolTBPanel.exe /AO4 - HKLM..Run: [Logitech Utility]Logi_MwX.Exe
O4 - HKLM..Run: [WinampAgent]C
rogram FilesWinampwinampa.exeO4 - HKLM..Run: [DU Meter]C
rogram FilesDU MeterDUMeter.exeO4 - HKLM..Run: [HPDJ Taskbar Utility]C:WINDOWSsystem32spooldriversw32x863hpztsb04.exe
O4 - HKLM..Run: [ISUSPM]"C
rogram FilesCommon FilesInstallShieldUpdateServiceisuspm.exe" -schedulerO4 - HKLM..Run: [RTHDCPL]RTHDCPL.EXE
O4 - HKLM..Run: [NvCplDaemon]RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz]nwiz.exe /install
O4 - HKLM..Run: [Adobe Reader Speed Launcher]"C
rogram FilesAdobeReader 9.0ReaderReader_sl.exe"O4 - HKLM..Run: [NvMediaCenter]RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [avgnt]"C
rogram FilesAviraAntiVir PersonalEdition Classicavgnt.exe" /minO4 - HKLM..Run: [COMODO SafeSurf]"C
rogram FilesCOMODOSafeSurfcssurf.exe" -sO4 - HKLM..Run: [COMODO Firewall Pro]"C
rogram FilesCOMODOFirewallcfp.exe" -hO4 - HKLM..Run: [COMODO Internet Security]"C
rogram FilesCOMODOFirewallcfp.exe" -hO4 - HKCU..Run: [Gadu-Gadu]"C
rogram FilesGadu-GaduStrongGG.exe" /trayO4 - HKCU..Run: [AlcoholAutomount]"C
rogram FilesAlcohol SoftAlcohol 120axcmd.exe" /automountO4 - HKCU..Run: [SpybotSD TeaTimer]C
rogram FilesSpybot - Search & DestroyTeaTimer.exeO4 - HKCU..Run: [DAEMON Tools Lite]"C
rogram FilesDAEMON Tools Litedaemon.exe" -autorunO4 - HKCU..Run: [SUPERAntiSpyware]C
rogram FilesSUPERAntiSpywareSUPERAntiSpyware.exeO4 - HKUSS-1-5-18..Run: [CTFMON.EXE]C:WINDOWSSystem32CTFMON.EXE (User ''SYSTEM'')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE]C:WINDOWSSystem32CTFMON.EXE (User ''Default user'')
O4 - Global Startup: Microsoft Office.lnk = C
rogram FilesMicrosoft OfficeOfficeOSA9.EXEO8 - Extra context menu item: Pobierz plik wideo we Free Download Manager -
[Aby zobaczyć linki, zarejestruj się tutaj]
FilesFree Download Managerdlfvideo.htmO8 - Extra context menu item: Pobierz w Free Download Manager -
[Aby zobaczyć linki, zarejestruj się tutaj]
FilesFree Download Managerdllink.htmO8 - Extra context menu item: Pobierz wszystkie pliki w Free Download Manager -
[Aby zobaczyć linki, zarejestruj się tutaj]
FilesFree Download Managerdlall.htmO8 - Extra context menu item: Pobierz zaznaczone w Free Download Manager -
[Aby zobaczyć linki, zarejestruj się tutaj]
FilesFree Download Managerdlselected.htmO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C
rogram FilesJavajre1.6.0_05binssv.dllO9 - Extra ''Tools'' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C
rogram FilesJavajre1.6.0_05binssv.dllO9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSbdoscandel.exe
O9 - Extra ''Tools'' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSbdoscandel.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Fiddler - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C
rogram FilesFiddlerFiddler.exe" (file missing)O9 - Extra ''Tools'' menuitem: Fiddler - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C
rogram FilesFiddlerFiddler.exe" (file missing)O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C
ROGRA~1SPYBOT~1SDHelper.dllO9 - Extra ''Tools'' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C
ROGRA~1SPYBOT~1SDHelper.dllO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra ''Tools'' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C
rogram FilesMessengermsmsgs.exeO9 - Extra ''Tools'' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C
rogram FilesMessengermsmsgs.exeO9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C
rogram FilesFree Download ManagerFUMfumiebtn.dllO10 - Unknown file in Winsock LSP: c:windowssystem32nwprovau.dll
O15 - Trusted Zone:
[Aby zobaczyć linki, zarejestruj się tutaj]
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) -[Aby zobaczyć linki, zarejestruj się tutaj]
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - Crogram FilesYahoo!Commonyinsthelper.dllO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
[Aby zobaczyć linki, zarejestruj się tutaj]
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) -[Aby zobaczyć linki, zarejestruj się tutaj]
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -[Aby zobaczyć linki, zarejestruj się tutaj]
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -[Aby zobaczyć linki, zarejestruj się tutaj]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - CROGRA~1COMMON~1SkypeSKYPE4~1.DLLO20 - AppInit_DLLs:C:WINDOWSsystem32guard32.dll C:WINDOWSsystem32cssdll32.dll
O20 - Winlogon Notify: !SASWinLogon - C
rogram FilesSUPERAntiSpywareSASWINLO.dllO23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C
rogram FilesAviraAntiVir PersonalEdition Classicsched.exeO23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C
rogram FilesAviraAntiVir PersonalEdition Classicavguard.exeO23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C
rogram FilesCOMODOFirewallcmdagent.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C
rogram FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exeO23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C
rogram FilesCommon FilesLightScribeLSSrvc.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:WINDOWSsystem32PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:WINDOWSsystem32PnkBstrB.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C
rogram FilesSiSoftwareSiSoftware Sandra Lite XIIcWin32RpcDataSrv.exeO23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C
rogram FilesSiSoftwareSiSoftware Sandra Lite XIIcRpcSandraSrv.exeO23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C
rogram FilesAlcohol SoftAlcohol 120StarWindStarWindServiceAE.exeO23 - Service: TOTUVR - Unknown owner - C
OCUME~1xxxxUSTAWI~1TempTOTUVR.exe (file missing)O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C
rogram FilesCommon FilesUlead SystemsDVDULCDRSvr.exe--
End of file - 10948 bytes
CoboFix - znow rapid bo sie nie miesci
[Aby zobaczyć linki, zarejestruj się tutaj]