[adex333]

Po każdym wyłączenie komputera i ponownym włączeniu go zatrzymują mi się następujące usługi:
-Kompozycje
-Instalator Windows
-Program uruchamiający proces serwera DCOM

Co można zrobić żeby te procesy były po każdym włączeniu komputera uruchomione. Oczywiście typ uruchomienia mam automatyczny.

[Jakub Krawczyk]

Jak będą miały opcję włączone, to powinno pomóc.

Zobacz jeszcze polecenia msconfig (start/uruchom i wpisz msconfig) tam możesz zobaczyć czy na pewno się uruchamiają przy starcie.

[adex333]

Nie na takiej opcji włączony, a w msconfig nie ma tych usług przy uruchamianiu.
Co mam dalej robić?

[adex333]

Bardzo Was proszę o pomoc

[Ferrari]

Najpierw przeskanuj komputer programem antywirusowym i wygeneruj log z HijackThis. Wklej go do białego pola i każ przeanalizować. Czy są inne niepokojące objawy?

Upewnij się, że jest włączona usługa Zdalne wykonywanie procedur (RPC).

Instalator Windows powinien być raczej na ręcznym. Przynajmniej u mnie nie ma kłopotów z instalacją pakietów .msi. Jeżeli używasz klasycznego schematu pulpitu, być może Kompozycje zatrzymują się automatycznie.

[adex333]

Usługę zdalne wywoływanie... mam uruchomioną a to jest kod z hijack this (na stronie było 6 czerwonych krzyżyków ale obok pisało albo safe albo very safe. Tylko przy jednym nic nie pisało)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:57:21, on 2009-09-16
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Philips\LightFrame\LightFrame.exe
C:\Program Files\Freedom\Freedom.exe
C:\Program Files\Mozilla Firefox\firefox.exe
G:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\herss.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1844237615-1202660629-839522115-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LightFrame.lnk = C:\Program Files\Philips\LightFrame\LightFrame.exe
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA9DA616-0505-41BB-AE9C-866F32723F85}: NameServer = 217.116.100.65 79.163.127.70
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4271 bytes

Bardzo proszę o pomoc

[mati8898]

Uruchom HijackThis -> Do a system scan only -> w okienku programu pokaże się log -> zaznacz kratki przy podanych wpisach -> klikasz Fix checked

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\herss.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:

Wylecz pamięci przenośne Flash Disinfector lub sformatuj

Pobierz Combofix ale nie uruchamiaj. Wklej do notatnika:

File::
C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\herss.exe

Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe


Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

[adex333]

Wszystko zrobiłem, tylko to z tym combofixem jest coś nie tak, jak przenoszę ten plik to żaden log mi nie wyskakuje tylko chce zainstalować konsole odzyskiwania. Następnie jest sprawdzienie systemu etap pierwszy drugi itd.
Co mam robić zainstalować tą konsole czy jak? A może ten tekst inaczej zapisać (inny typ , kodowanie)?

[mati8898]

Tak, zainstaluj konsolę, następnie poczekaj aż ukończą się wszystkie etapy. Tu instrukcja -> http://helpc.eu/combofix-t39.html (oczywiście jest w niej podane, że uruchamiasz go dwuklikiem, ale ty zamiast tego masz przeciągnąć ikonkę CFScript.txt na niego i ma się uruchomić)

[adex333]

Sorry że tak późno ale nie moglem wcześniej. zrobiłem wszystko co kazaliście i po zakończeniu działanie combofix'a pokazał się następujący log:

ComboFix 09-09-18.02 - Administrator 2009-09-20 7:54.2.1 - NTFSx86
Uruchomiony z: c:\documents and settings\Administrator\Moje dokumenty\Pobieranie\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Administrator\Pulpit\Programy\CFScript.txt
* Utworzono nowy punkt przywracania

FILE ::
"c:\docume~1\ADMINI~1\USTAWI~1\Temp\herss.exe"
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\10nb.exe
C:\2o1ajagt.exe
C:\3c.exe
C:\86.exe
C:\Autorun.inf
c:\docume~1\ADMINI~1\USTAWI~1\Temp\cvasds0.dll
c:\docume~1\ADMINI~1\USTAWI~1\Temp\cvasds1.dll
c:\docume~1\ADMINI~1\USTAWI~1\Temp\herss.exe
C:\dogyx90.exe
C:\ph.exe
c:\windows\system32\ieuinit.inf
c:\windows\system32\setup.ini
D:\2o1ajagt.exe
D:\86.exe
D:\Autorun.inf
E:\10nb.exe
E:\22yj2fy1.exe
E:\2o1ajagt.exe
E:\3.cmd
E:\3c.exe
E:\3j2h0tf.bat
E:\6rxt26.exe
E:\86.exe
E:\9cquqs.exe
E:\9u.exe
E:\autorun.inf
E:\b.bat
E:\cfrdbyrp.bat
E:\cj3k.exe
E:\dhrhyje.bat
E:\dogyx90.exe
E:\ewqij.bat
E:\frg89pi.bat
E:\hkn6k.bat
E:\hm1bfpuj.exe
E:\i0yva6.exe
E:\ktly.exe
E:\m.exe
E:\mqhnawe.bat
E:\mt.bat
E:\mt2.exe
E:\n68mqcra.exe
E:\o9bxu.exe
E:\p0ijj.bat
E:\ph.exe
E:\pkkwng.exe
E:\q1alx.exe
E:\rx.exe
E:\t8s2x.exe
E:\u0riu2.exe
E:\ukfbi3aw.exe
E:\w.com
E:\wbj.exe
E:\xmcckw.bat
E:\y.bat
E:\ysep1.exe
F:\10nb.exe
F:\22yj2fy1.exe
F:\2o1ajagt.exe
F:\3.cmd
F:\3c.exe
F:\3j2h0tf.bat
F:\6rxt26.exe
F:\86.exe
F:\9cquqs.exe
F:\9kretct.exe
F:\9u.exe
F:\autorun.inf
F:\b.bat
F:\cfrdbyrp.bat
F:\cj3k.exe
F:\dhrhyje.bat
F:\dogyx90.exe
F:\ewqij.bat
F:\frg89pi.bat
F:\hkn6k.bat
F:\hm1bfpuj.exe
F:\i0yva6.exe
F:\ktly.exe
F:\m.exe
F:\mqhnawe.bat
F:\mt.bat
F:\mt2.exe
F:\n68mqcra.exe
F:\o9bxu.exe
F:\p.exe
F:\p0ijj.bat
F:\ph.exe
F:\pkkwng.exe
F:\q1alx.exe
F:\rx.exe
F:\t8s2x.exe
F:\u0riu2.exe
F:\ukfbi3aw.exe
F:\w.com
F:\w9hw8.exe
F:\wbj.exe
F:\xerp8nj.exe
F:\xmcckw.bat
F:\y.bat
F:\ysep1.exe
G:\10nb.exe
G:\22yj2fy1.exe
G:\2o1ajagt.exe
G:\3.cmd
G:\3c.exe
G:\3j2h0tf.bat
G:\6rxt26.exe
G:\86.exe
G:\9cquqs.exe
G:\9kretct.exe
G:\9u.exe
G:\autorun.inf
G:\b.bat
G:\cfrdbyrp.bat
G:\cj3k.exe
G:\dhrhyje.bat
G:\dogyx90.exe
G:\ewqij.bat
G:\frg89pi.bat
G:\hkn6k.bat
G:\hm1bfpuj.exe
G:\i0yva6.exe
G:\ktly.exe
G:\m.exe
G:\mqhnawe.bat
G:\mt.bat
G:\mt2.exe
G:\n68mqcra.exe
G:\o9bxu.exe
G:\p.exe
G:\p0ijj.bat
G:\ph.exe
G:\pkkwng.exe
G:\q1alx.exe
G:\rx.exe
G:\t8s2x.exe
G:\u0riu2.exe
G:\ukfbi3aw.exe
G:\w.com
G:\w9hw8.exe
G:\wbj.exe
G:\xerp8nj.exe
G:\xmcckw.bat
G:\y.bat
G:\ysep1.exe

Zainfekowana kopia c:\windows\system32\srsvc.dll została znaleziona. Problem naprawiono
Plik odzyskano z - c:\windows\ServicePackFiles\i386\srsvc.dll

.
((((((((((((((((((((((((( Pliki utworzone od 2009-08-20 do 2009-09-20 )))))))))))))))))))))))))))))))
.

2009-09-20 05:57 . 2008-04-14 20:50 171520 ----a-w- c:\windows\system32\srsvc.dll
2009-09-19 18:09 . 2009-09-19 18:09 -------- d-----w- c:\program files\SimBin
2009-09-16 17:47 . 2009-09-16 17:46 116163 --sh--r- C:\qcod.exe
2009-09-13 17:26 . 2009-09-13 17:26 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Mistrz Klawiatury 2009 Data
2009-09-13 17:13 . 2009-09-13 17:09 331184 ------w- c:\windows\system32\difxapi.dll
2009-09-13 17:04 . 2009-09-13 17:04 -------- d-----w- c:\program files\VIA
2009-09-13 09:19 . 2008-04-14 20:51 171520 -c--a-w- c:\windows\system32\dllcache\msconfig.exe
2009-09-12 07:32 . 2009-09-12 07:32 -------- d-----w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Adobe
2009-09-12 07:31 . 2009-09-12 07:32 -------- d-----w- c:\program files\Common Files\Adobe
2009-09-11 12:46 . 2009-09-11 12:46 -------- d--h--w- c:\windows\$hf_mig$
2009-09-10 17:46 . 2009-09-10 17:46 -------- d-----w- c:\program files\Microsoft Works
2009-09-10 17:45 . 2009-09-10 17:45 -------- d-----w- c:\program files\MSBuild
2009-09-10 17:43 . 2009-09-10 17:43 -------- d-s---w- c:\windows\system32\Microsoft
2009-09-10 17:42 . 2009-09-10 17:42 -------- d-----w- c:\windows\SHELLNEW
2009-09-10 17:42 . 2009-09-10 17:42 -------- d-----w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft Help
2009-09-10 17:42 . 2009-09-10 17:47 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Microsoft Help
2009-09-10 17:42 . 2009-09-10 17:42 -------- d-----r- C:\MSOCache
2009-09-10 17:41 . 2009-09-10 17:41 -------- d-----w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Opera
2009-09-10 17:30 . 2009-09-10 17:30 -------- d-----w- c:\program files\Opera
2009-09-10 16:18 . 2008-04-14 20:51 78848 ----a-w- c:\windows\system32\msiexec.exe
2009-09-10 16:18 . 2008-04-14 20:50 2843136 ----a-w- c:\windows\system32\msi.dll
2009-09-10 16:18 . 2008-04-14 20:50 271360 ----a-w- c:\windows\system32\msihnd.dll
2009-09-10 16:18 . 2008-04-14 20:50 15360 ----a-w- c:\windows\system32\msisip.dll
2009-09-10 16:18 . 2008-04-13 19:09 884736 ----a-w- c:\windows\system32\msimsg.dll
2009-09-09 17:50 . 2003-02-26 14:04 370048 ----a-r- c:\windows\system32\drivers\viaudios.sys
2009-09-09 17:50 . 2009-09-10 16:18 -------- d-----w- c:\windows\LastGood
2009-09-09 17:50 . 2009-09-09 17:50 -------- d-----w- c:\program files\VIA Technologies, INC
2009-09-09 17:50 . 2003-02-26 14:04 765952 ----a-r- c:\windows\system\crlds3d.dll
2009-09-09 17:50 . 2003-02-26 14:04 720896 -c--a-w- c:\windows\system32\dllcache\a3d.dll
2009-09-09 17:50 . 2003-02-26 14:04 720896 ----a-r- c:\windows\system32\a3d.dll
2009-09-09 17:50 . 2002-12-16 08:19 32768 ----a-w- c:\windows\system32\UnAudioNT.dll
2009-09-09 17:50 . 1998-10-07 10:54 327168 ----a-w- c:\windows\IsUn0415.exe
2009-09-09 17:06 . 2009-09-09 17:06 -------- d-----w- C:\TerraTec
2009-09-09 16:32 . 2009-09-11 16:09 -------- d-----w- c:\documents and settings\X\Pulpit
2009-09-09 16:32 . 2009-09-09 16:32 -------- d-----w- c:\documents and settings\X\Menu Start
2009-09-09 16:32 . 2009-09-09 16:32 -------- d-----w- c:\documents and settings\X
2009-09-09 14:53 . 2009-09-09 15:03 -------- d-----w- c:\program files\7-Zip
2009-09-09 14:38 . 2008-04-13 22:15 26368 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
2009-09-09 14:28 . 2009-09-09 14:28 -------- d--h--w- c:\windows\system32\GroupPolicy
2009-09-09 13:44 . 2009-09-09 13:44 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\NVIDIA
2009-09-09 13:37 . 2009-09-09 13:36 9728 ----a-w- c:\windows\system32\drivers\viausb1.sys
2009-09-09 13:33 . 2009-09-09 15:03 -------- d-----w- c:\program files\Realtek AC97
2009-09-09 13:33 . 2006-12-08 13:20 10528768 ----a-w- c:\windows\system32\RTLCPL.exe
2009-09-09 13:33 . 2007-04-16 13:28 577536 ----a-w- c:\windows\soundman.exe
2009-09-09 13:33 . 2006-10-18 00:53 147456 ----a-w- c:\windows\system32\RtlCPAPI.dll
2009-09-09 13:33 . 2006-07-31 09:27 217088 ----a-w- c:\windows\Alcrmv.exe
2009-09-09 13:33 . 2006-07-31 09:19 315392 ----a-w- c:\windows\alcupd.exe
2009-09-09 13:33 . 2009-09-09 17:07 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-09 13:31 . 2009-09-09 13:34 -------- d-----w- c:\windows\LastGood.Tmp
2009-09-09 13:16 . 2009-09-10 19:46 68848 ----a-w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-09-09 13:09 . 2009-09-09 13:09 -------- d-----w- c:\windows\ServicePackFiles
2009-09-09 13:09 . 2008-04-14 20:51 294912 -c----w- c:\windows\system32\dllcache\dlimport.exe
2009-09-09 13:07 . 2007-08-10 18:53 26488 ----a-w- c:\windows\system32\spupdsvc.exe
2009-09-09 12:58 . 2006-10-22 13:06 208896 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-09-09 12:38 . 2005-01-12 09:19 456536 ----a-w- c:\windows\system32\XCEEDZIP.DLL
2009-09-09 12:38 . 2004-09-28 09:13 526184 ----a-w- c:\windows\system32\XceedCry.dll
2009-09-09 12:38 . 2004-08-11 13:55 110602 ----a-w- c:\windows\system32\xcdsfx32.bin
2009-09-09 12:38 . 2009-09-09 15:03 -------- d-----w- c:\program files\Driver Magician
2009-09-09 12:29 . 2009-09-09 12:29 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\nView_Profiles
2009-09-08 19:08 . 2001-08-17 21:59 3072 ----a-w- c:\windows\system32\drivers\audstub.sys
2009-09-08 19:07 . 2008-04-14 19:35 58880 ----a-w- c:\windows\system32\drivers\redbook.sys
2009-09-08 19:07 . 2006-10-22 10:22 3994624 -c--a-w- c:\windows\system32\dllcache\nv4_mini.sys
2009-09-08 19:07 . 2006-10-22 10:22 3994624 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2009-09-08 19:07 . 2006-10-22 10:22 4527488 ----a-w- c:\windows\system32\nv4_disp.dll
2009-09-08 19:07 . 2008-04-14 20:50 86016 ----a-w- c:\windows\system32\mdmxsdk.dll
2009-09-08 19:07 . 2008-04-14 20:50 32285 ----a-w- c:\windows\system32\hsfcisp2.dll
2009-09-08 19:07 . 2004-08-03 22:41 11868 ----a-w- c:\windows\system32\drivers\mdmxsdk.sys
2009-09-08 19:07 . 2004-08-03 22:41 685056 ----a-w- c:\windows\system32\drivers\HSFCXTS2.sys
2009-09-08 19:07 . 2004-08-03 22:41 220032 ----a-w- c:\windows\system32\drivers\HSFBS2S2.sys
2009-09-08 19:07 . 2004-08-03 22:41 1041536 ----a-w- c:\windows\system32\drivers\HSFDPSP2.sys
2009-09-08 19:07 . 2008-04-13 22:06 42240 ----a-w- c:\windows\system32\drivers\viaagp.sys
2009-09-08 19:06 . 2008-04-14 20:50 77312 ----a-w- c:\windows\system32\usbui.dll
2009-09-08 19:04 . 2009-09-20 05:54 -------- d-----w- c:\windows\system32\CatRoot2
2009-09-08 19:04 . 2009-09-13 17:13 -------- d-----w- c:\windows\system32\CatRoot
2009-09-08 19:04 . 2009-09-13 17:26 -------- d--h--r- c:\documents and settings\All Users\Dane aplikacji
2009-09-08 19:04 . 2009-09-08 19:05 -------- d--h--r- c:\documents and settings\Default User\Dane aplikacji
2009-09-08 19:04 . 2009-09-09 16:32 -------- d-----w- C:\Documents and Settings
2009-09-08 19:04 . 2009-09-08 17:13 -------- d--h--w- c:\documents and settings\Default User
2009-09-08 19:04 . 2009-09-08 17:13 -------- d-----w- c:\documents and settings\All Users

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-13 17:09 . 2009-05-05 07:58 13976 ----a-w- c:\windows\system32\drivers\videX32.sys
2009-09-13 16:59 . 2001-11-29 20:53 445288 ----a-w- c:\windows\system32\perfh015.dat
2009-09-13 16:59 . 2001-11-29 20:53 72636 ----a-w- c:\windows\system32\perfc015.dat
2009-09-10 17:31 . 2009-09-08 17:58 -------- d-----w- c:\program files\Common Files\InstallShield
2009-09-09 17:07 . 2009-09-09 17:07 -------- d-----w- c:\program files\TerraTec
2009-09-09 17:07 . 2009-09-09 17:07 -------- d-----w- c:\program files\Common Files\TerraTec
2009-09-09 15:03 . 2009-09-08 17:52 -------- d-----w- c:\program files\Freedom
2009-09-08 18:51 . 2003-07-02 02:42 27904 ----a-w- c:\windows\system32\drivers\VIAAGP1.SYS
2009-09-08 18:35 . 2009-09-08 18:35 -------- d-----w- c:\program files\Lavalys
2009-09-08 18:05 . 2009-09-08 18:05 335 ----a-w- c:\windows\nsreg.dat
2009-09-08 18:05 . 2009-09-08 18:05 89312 ----a-w- c:\windows\MozillaUninstall.exe
2009-09-08 18:05 . 2009-09-08 18:05 7993 ----a-w- c:\windows\mozver.dat
2009-09-08 18:05 . 2009-09-08 18:05 -------- d-----w- c:\program files\mozilla.org
2009-09-08 17:52 . 2009-09-08 17:52 -------- d-----w- c:\program files\ZTE ZXDSL 852
2009-09-08 17:44 . 2009-09-08 17:44 -------- d-----w- c:\program files\Philips
2009-09-08 17:14 . 2009-09-08 17:14 -------- d-----w- c:\program files\microsoft frontpage
2009-09-08 17:11 . 2009-09-08 17:11 21856 ----a-w- c:\windows\system32\emptyregdb.dat
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"TerraTec Scheduler"="c:\program files\Common Files\TerraTec\Scheduler\TTTimer.exe" [2003-11-27 499712]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"AdslTaskBar"="stmctrl.dll" - c:\windows\system32\stmctrl.dll [2006-06-02 151552]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-22 1622016]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2007-04-16 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
LightFrame.lnk - c:\program files\Philips\LightFrame\LightFrame.exe [2009-9-8 196608]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders schannel.dll, digest.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\ AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 spupdsvc;Windows Service Pack Installer update service;c:\windows\system32\spupdsvc.exe [2007-08-10 26488]
R3 viafilter;VIA USB Filter;c:\windows\System32\Drivers\viausb1.sys [2009-09-09 9728]
S3 Stmatm;ATM/ADSL miniport;c:\windows\system32\DRIVERS\stmatm.sys [2003-08-12 60255]
S3 TaurusUsb;ADSL Modem USB Service;c:\windows\system32\DRIVERS\torususb.sys [2006-07-05 683791]

.
.
------- Skan uzupełniający -------
.
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {EA9DA616-0505-41BB-AE9C-866F32723F85} = 217.116.100.65 79.163.127.70
FF - ProfilePath - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\fro0vads.default\
FF - prefs.js: browser.search.selectedEngine - Allegro
FF - prefs.js: browser.startup.homepage - google.pl
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-20 08:00
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Czas ukończenia: 2009-09-20 8:01 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-09-20 06:01

Przed: 23 283 798 016 bajtów wolnych
Po: 23 335 899 136 bajtów wolnych

WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

326

[mati8898]

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Files to delete:
C:\qcod.exe
D:\qcod.exe
E:\qcod.exe
F:\qcod.exe
G:\qcod.exe

klikasz Execute -> Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

[adex333]

Oto log:

Logfile of The Avenger Version 2.0, © by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\qcod.exe" deleted successfully.

Error: file "D:\qcod.exe" not found!
Deletion of file "D:\qcod.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "E:\qcod.exe" deleted successfully.
File "F:\qcod.exe" deleted successfully.
File "G:\qcod.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[mati8898]

Ok, usunięte.

Pobierz OTC uruchom i kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie usuń i daj raport (Plik Zapisz Listę Raportu)

[adex333]

Myślę, że mam naprawić te wpisy rejestru, ale wole się upewnić czy dobrze zrobię. Proszę o odpowiedź.

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Windows.Forms.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Windows.Forms.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorlib.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscoree.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Drawing.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.EnterpriseServices.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.JScript.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Drawing.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscoree.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.JScript.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.Vb.CodeDOMProcessor. tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscorlib.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Brakujące pliki współdzielone DLL C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705
\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Nieprawidłowe rozszerzenia plików .ai HKCR\.ai
Nieprawidłowe rozszerzenia plików .fif HKCR\.fif
Nieprawidłowe rozszerzenia plików .hqx HKCR\.hqx
Nieprawidłowe rozszerzenia plików .man HKCR\.man
Nieprawidłowe rozszerzenia plików .ps HKCR\.ps
Nieprawidłowe rozszerzenia plików OISbmpfile HKCR\OISbmpfile
Nieprawidłowe rozszerzenia plików OISemffile HKCR\OISemffile
Nieprawidłowe rozszerzenia plików OISgiffile HKCR\OISgiffile
Nieprawidłowe rozszerzenia plików OISjpegfile HKCR\OISjpegfile
Nieprawidłowe rozszerzenia plików OISpngfile HKCR\OISpngfile
Nieprawidłowe rozszerzenia plików OIStiffile HKCR\OIStiffile
Nieprawidłowe rozszerzenia plików OISwmffile HKCR\OISwmffile
Nieprawidłowe rozszerzenia plików SysmonLogManager.Snapin HKCR\SysmonLogManager.Snapin
Nieprawidłowe rozszerzenia plików WMPCD HKCR\WMPCD
Nieprawidłowe rozszerzenia plików .7z HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\. 7z
Nieprawidłowe rozszerzenia plików .ace HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\. ace
Nieprawidłowe rozszerzenia plików .ex_ HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\. ex_
Nieprawidłowe rozszerzenia plików .json HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\. json
Nieprawidłowe rozszerzenia plików .o HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\. o
Nieprawidłowe rozszerzenia plików .win HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\. win
Nieprawidłowa ikona domyślna C:\Program Files\Adobe\Reader 8.0\Acrobat\AcroRd32.exe HKCR\acrobat\DefaultIcon
Nieprawidłowa ikona domyślna C:\WINDOWS\system32\CMMGR32.EXE,1 HKCR\Connection Manager

Profile\DefaultIcon
Problem z "Otwórz za pomocą" C:\WINDOWS\system32\CMMGR32.EXE "%1" HKCR\Connection Manager Profile\shell\open
Problem z "Otwórz za pomocą" C:\WINDOWS\system32\CMMGR32.EXE /settings "%1" HKCR\Connection Manager Profile\shell\Settings...

Nieprawidłowa ikona domyślna C:\Dev-Cpp\DevCpp.exe,10 HKCR\DevCpp.devpackage\DefaultIcon

Problem z "Otwórz za pomocą" C:\Dev-Cpp\PackMan.exe "%1" HKCR\DevCpp.devpackage\shell\Open

Nieprawidłowa ikona domyślna C:\Dev-Cpp\DevCpp.exe,9 HKCR\DevCpp.devpak\DefaultIcon

Problem z "Otwórz za pomocą" C:\Dev-Cpp\PackMan.exe "%1" HKCR\DevCpp.devpak\shell\Open
Problem z "Otwórz za pomocą" %SystemRoot%\PCHEALTH\HELPCTR\Binaries\HelpCtr.exe -FromHCP -url "%1" HKCR\HCP\shell\open

Nieprawidłowy lub pusty plik klasy InfoPath.TemplatePart.2 HKCR\InfoPath.TemplatePart.2
Nieprawidłowa ikona domyślna C:\Program Files\MoorHunt\Images\mhcf.ico HKCR\MoorHuntCryptoFile\DefaultIcon
Nieprawidłowa ikona domyślna %SystemRoot%\PCHealth\HelpCtr\Binaries\HelpCtr.exe HKCR\MsRcIncident\DefaultIcon

Problem z "Otwórz za pomocą" %SystemRoot%\PCHealth\HelpCtr\Binaries\HelpCtr.exe -Mode "hcp://system/Remote%%20Assistance/RAClientLayout.xml" -url "hcp://system/Remote%%20Assistance/Interaction/Client/rctoolScreen1.htm" -ExtraArgument "IncidentFile=%1" HKCR\MsRcIncident\shell\open

Nieprawidłowa ikona domyślna %SystemRoot%\system32\msppcnfg.exe,1 HKCR\ppifile\DefaultIcon

Problem z "Otwórz za pomocą" %SystemRoot%\System32\msppcnfg.exe /Config %1 HKCR\ppifile\shell\open
Problem z "Otwórz za pomocą" "C:\Documents and Settings\Administrator\Pulpit\7-Zip File Manager.lnk" %1 HKCR\rar_auto_file\shell\open

Problem z ActiveX/COM InProcServer32\%SystemRoot%\system32\eapa3hst.dll HKCR\CLSID\{1FF84C3B-1140-4eb6-BE38-4BE618D2E7D6}

Problem z ActiveX/COM InProcServer32\%SystemRoot%\system32\racpldlg.dll HKCR\CLSID\{4FADCFEA-0971-4575-A368-A2DE9D2ED07D}

Problem z ActiveX/COM InProcServer32\C:\WINDOWS\system32\eapahost.dll HKCR\CLSID\{5A8371A3-0C6D-487b-B3C8-46D785C4C940}

Problem z ActiveX/COM InProcServer32\%SystemRoot%\system32\eapa3hst.dll HKCR\CLSID\{9DAA7B9D-CE5B-42CE-B942-32BBC284AC44}

Problem z ActiveX/COM InProcServer32\%SystemRoot%\system32\eapa3hst.dll HKCR\CLSID\{B0E28D63-52F6-4e30-992B-78ECF97268E9}

Brakujące odniesienie TypeLib IRAEventLog - {5190C4AF-AB0F-4235-B12F-D5A8FA3F854B} HKCR\Interface\{0AE5FE86-C02A-4214-B985-357ABA40F085}

Brakujące odniesienie TypeLib ISearch - {47A7A4B0-2723-41BA-865E-EBBB7081A602} HKCR\Interface\{2CE4D4CF-B278-4126-AD1E-B622DA2E8339}

Problem z "Otwórz za pomocą" "C:\Documents and Settings\Administrator\Pulpit\7-Zip File Manager.lnk" %1 HKCR\Applications\7-Zip File Manager.lnk\shell\open

Problem z "Otwórz za pomocą" C:\Dev-Cpp\DevCpp.exe "%1" HKCR\Applications\DevCpp.exe\shell\Open

Problem ze ścieżką dostępu cmmgr32.exe - C:\WINDOWS\system32\cmmgr32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe

Problem ze ścieżką dostępu combofix.exe - C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\ComboFix.exe HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

Problem ze ścieżką dostępu HELPCTR.EXE - %Systemroot%\PCHealth\HelpCtr\Binaries\HelpCtr.exe HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HELPCTR.EXE

Problem z plikiem pomocy \nwindcs9.cnt HKLM\Software\Microsoft\Windows\Help
Problem z plikiem pomocy \nwind9.cnt HKLM\Software\Microsoft\Windows\Help
Problem z plikiem pomocy \nwind9.hlp HKLM\Software\Microsoft\Windows\Help
Problem z plikiem pomocy \nwindcs9.hlp HKLM\Software\Microsoft\Windows\Help
Problem z odniesieniem do deinstalatora "C:\Dev-Cpp\uninstall.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Dev-C++

Przestarzały klucz programu Wget HKCU\Software\Wget
Przestarzały klucz programu knight HKLM\Software\knight

Brakujące odniesienie MUI C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\OTC.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache

[mati8898]

Tak napraw

[adex333]

Chciałem teraz włączyć i wyłączyć przywracanie systemu, ale gdy klikam ppm na mój komputer -> własności -> i tutaj zdziwienie nie mam karty przywracanie, co to teraz?

[mati8898]

Zobacz -> http://www.searchengines.pl/Brak-zakladki-...mu-t100305.html
-> http://forum.dobreprogramy.pl/nie-dziala-w...t346829-15.html

[adex333]

http://forum.dobrepr...t346829-15.html ten sposób mi nie działa ale może to dlatego że mam jakiś plików systemowych ponieważ przy instalacji Windowsa wyskakiwały mi różne błędy ze nie można skopiować tego pliku bla bla bla. Pomóżcie!!!! pinball mi nie działa włącza się i od razu się wyłącza. To samo z bitcomet'em.

[mati8898]

Wykonaj instalację nakładkową :arrow: http://helpc.eu/inst...kowa-t2198.html

[Nitrox]

Jeśli podczas instalacji występują problemy z kopiowaniem plików, to znaczy, że albo płytka jest mocno porysowana i napęd nie potrafi jej odczytać, albo pamięć RAM masz uszkodzoną - wtedy wyskakują błędy, które normalnie nigdy by nie wyskoczyły. Sprawdź pamięć programem memtest86, jeśli nadal występują problemy ze skopiowaniem plików.

[adex333]

Pojawiła mi się zakładka przywracanie systemu więc zacznę od początku.
Wierzcie mi nie wiem jakim cudem po zmianie rejestru restartowałem system.

Użytkownik adex333 edytował ten post 24 wrzesień 2009, 12:39

[adex333]

Włączyłem i wyłączyłem przywracanie systemu i przetestowałem tym Dr.Web CureIt i wykonałem szybie skanowanie i nic mi nie wykryło a potem wykonałem pełne i po 40 min wyłączyłem po znalazło tylko ten program do usuwania wirusów z pendrive' a (Flash Disinfector) a resztę nic więc zatrzymałem bo stwierdziłem że niema sensu dalej testować.

[mati8898]

W takim razie jeśli chodzi o wirusy to jest już czysto

[adex333]

no ale co dalej...

[mati8898]

To napisz, jak teraz wygląda sytuacja. Robiłeś instalację nakładkową???

[adex333]

Nic się nie zmieniło nie robiłem żadnej instalacji nakładowej bo nie wiem czy czasami nie stracę wszystkich danych.

[mati8898]

Instalacja nakładkowa tylko nadpisuje dane systemowe, więc nic nie utracisz, zresztą pisałeś, że:

Cytat

może to dlatego że mam jakiś plików systemowych ponieważ przy instalacji Windowsa wyskakiwały mi różne błędy ze nie można skopiować tego pliku

i tu prawdopodobnie tkwi problem

Użytkownik mati8898 edytował ten post 26 wrzesień 2009, 14:34

[adex333]

A czy można z płyty jakoś przenieść te brakujące pliki bez instalacji nakładowej (bo na to wpadłem wcześniej tylko myślałem że stracę dane )

[mati8898]

Możesz jeszcze tak spróbować: wkładasz do napędu płytę z windowsem, a następnie Start :arrow: Uruchom :arrow: wpisujesz: sfc /scannow

Użytkownik mati8898 edytował ten post 27 wrzesień 2009, 07:36

[adex333]

A co taka operacja zrobi? I gdzie jest wybór napędu, czy źródła gdzie przechowywany jest Windows.